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本 书 源 自 日 均 阅 读 量 近 万 次 火爆 的 线 上 同名 诬 程 ， 口 碑 与 
影响 力 俱 佳 ， 旨 在 打造 简单 易学 且 实 用 性 强 的 轻 量 级 Linux 入 
门 教程 。 














本 书 基于 最 新 的 红 帽 RHEL 系统 编 写 ， 且 内 容 通 用 于 
CentOS、EFedora 等 系统 。 本 书 共 分 为 20 章 ， 内 容 涵 盖 了 部 署 虚 
拟 环境 、 安 装 Linux 系 统 ， 常 用 的 Linux 命 令 ;， 与 文件 读 写 操作 
有 关 的 技术 ; 使 用 Vim 编 辑 器 编写 和 修改 配置 文件 ， 用 户 和 喘 份 
与 文件 权限 的 设置 ， 硬盘 设备 分 区 、 格 式 化 以 及 挂 载 等 操作 ; 
部 团 RAID 人 磁盘 阵列 和 LVM; firewalld 防 火 墙 与 iptables 防 火 墙 
的 区 别 和 配置 ， 使 用 ssh 服 务 管理 远程 主机 ; 使 用 Apache 服 务 
WD ata yuh; 使 用 vsftpd 服 务 传输 文件 ， 使 用 Samba 或 NFS 实 
现 文件 共享 ; 使 用 BIND 提 供 域 名 解析 服务 ， 使 用 DHCP 动 态 管 
理 主 机 地 址 ; 1H Postfix Dovecot 4 HME AZ; 使 用 Squid 
部 署 代 理 缓 存 服务 ; 使 用 iSCSI 服务 部 署 网 络 存 储 ; 使 用 
MariaDB 数 据 库 管 理 系统 ; ee 
务 ; 使 用 LNMP 架 构 部 署 动态 网 站 环境 等 。 此 外 ， 本 书 还 深度 
点 评 了 红 帽 RHCSA、RHCE、 rae 方便 读者 备考 。 








本 书 适合 打算 系统 、 全 面 学 习 Linux 技 术 的 初学 人 员 阅 








该 ， 具 有 一 定 Linux 使 用 经 验 的 用 户 也 可 以 通过 本 书 来 温习 自 
己 的 Linux 知 识 。 
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KPAX (Liu Chuan) 从 事 于 Linux 运 维 技术 行业 ， 
高 中 时 期 便 因 兴趣 的 驱使 而 较 早 地 接触 到 了 Linux 系 统 并 开始 
学 习 运 维 技术 ， 并 且 在 2012 年 获得 红 帆 工程 师 RHCE 6 版 本 证 
书 ， 在 2015 年 初 又 分 别 获 得 红 帆 工程师 RHCE 7 版 本 证 书 与 红 
由 架构 师 认 证 RHCA 顶 级 证 书 。 














尽管 如 此 ， 但 依然 深 知 水 平 有 限 且 技术 一 般 ， 知 不 是 得 益 
于 良师益友 的 无 私 帮 助 ， 肯 定 不 能 如 此 顺利 地 取得 上 述 成 绩 。 
并 且 ， 作 为 一 名 普通 的 技术 人 ， 我 杀身 经 历 过 半夜 还 在 培训 班 
的 心酸 ， 体 验 过 拥堵 6 小 时 车 程 的 无 条 ， 也 翻 看 过 市 面 上 十 几 
本 如 同 嚼 量 般 的 Linux 技 术 书 籍 ， 这 让 我 更 加 坚定 了 写作 本 书 
的 信念 。 此 刻 ， 我 正 是 怀 摘 着 一 颖 志 涉 的 心 ， 尽 自己 最 大 的 努 
力 把 有 用 的 知识 分 享 给 谈 者 ， 和 希望 你 们 能 够 少 走 一 些 灾 路， 更 
快 地 入 门 Linux 系 统 。 





贸 以 为 ， 一 名 技术 高 超 的 导师 不 应 该 仅仅 是 技术 的 搬运 
工 ， 而 应 该 是 优质 知识 的 提炼 者 ， 所 以 在 写作 本 书 的 过 程 中 ， 
我 不 希望 也 不 会 将 自己 了 解 掌握 的 所 有 技术 知识 都 写 到 书 里 ， 
借 此 来 履 技 ， 而 是 从 真正 贴近 于 新 人 学 习 特 点 的 角度 出 有 发 ， 主 
动 握 弃 了 不 实用 的 部 分 ， 并 把 重点 、 难 点 反复 实践 ， 以 加 深 读 




















者 对 理论 基础 的 理解 ， 并 彻 懈 掌握 生产 环境 中 用 到 的 技术 内 
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本 书 基于 最 新 的 Linux 系 统 RHEL 7 编写 而 成 ， 而 且 配 套 软 
件 及 资料 完全 免费 ， 课 程 面向 Linux 新 手 。 本 书 会 从 零 基 础 带 
领 读 者 入 门 Linux 系 统 ， 然 后 渐进 式 地 提高 内 容 难度 ， 使 其 匹 
配 生产 环境 对 运 维 人 员 的 要 求 。 而 且 ， 本 书 每 章 都 配套 有 大 量 
的 图 、 表 、 命 令 示 例 以 及 课 后 习题 ， 以 达到 增强 读者 学 习 兴 趣 
与 加 深 记 忆 的 效果 。 最 后 ， 本 书 以 及 配套 资源 相 较 于 当前 的 
RHCE 培 训 ， 至 少 要 多 出 40% 的 内 容 ， 只 要 您 能 每 天 坚持 学 
习 ， 相 信 这 绝对 是 您 体验 最 佳 、 进 步 最 快 的 一 次 学 习 经 历 。 

















最 后 想 说 的 是 ， 我 的 写作 初 心 其 实 并 不 高 雅 ， 只 是 在 还 
债 ， 还 十 几 年 来 中 国有 如 此 多 的 培训 机 构 赚 了 那么 多 钱 ， 但 却 
没有 培训 机 构 真 正 给 学 员 提 供 一 本 好 教材 的 债 ， 而 这 应 该 是 我 
们 的 学 员 早 就 应 该 全 受 的 服务 ， 不 能 再 选择 性 失明 了 。 而 到 了 
2017 年 ， 我 的 写作 初衷 也 融入 了 一 点 小 私心 ， 除 了 运营 好 
《Linux 就 该 这 么 学 》 图 书 的 在 线 学 习 网 站 
http://www.linuxprobe. com/， 服 务 更 多 的 学 员 和 读者 之 外 ， 还 
要 把 我 们 的 免费 开源 图 书 做 到 远 超 其 他 培训 机 构 收 费 教材 的 水 
平 ， 并 坚持 做 中 国 开 源 站 点 的 道德 典范 ， 不 欺 驴 ， 不 作 屎 ， 保 
持 最 纯净 的 技术 交流 环境 ， 而 我 们 想 要 得 到 的 也 很 简单 一 一 如 
果 您 认可 了 刘 毅 老师 的 付出 并 满意 我 们 的 服务 ， 还 请 把 本 书 告 

















诉 身 边 的 朋友 ， 让 更 多 的 人 知道 我 们 在 做 的 这 件 很 酷 的 事 。 
学 习 是 件 苗 差事 

我 不 想 回 避 这 个 问题 一 一 学 习 是 件 痛 可 的 事情 。 如 果 说 学 
习 Linux 真 的 很 简单 ， 那 必 是 驳 子 的 说 言 ， 起 码 这 不 能 给 您 价 
来 高 新 。 在 每 次 起 床 后 的 几 分钟 时 间 里 ， 大 脑 都 会 陷入 斗争 状 
态 一 一 是 该 聊 会 天 呢 ， 还 是 要 追 个 美剧 呢 ， 还 是 打 一 局 英雄 联 
HME, WEA BAAS X in 5 AY BS AS n] HJ Linux At 
呢 ?” 这 个 时 候 ， 请 不 要 忘记 目 己 最 初 的 梦想 。 十 年 后 的 你 ， 一 
定 会 感激 现在 拼命 努力 学 习 的 自己 。 里 为 作者 ， 我 的 使 命 就 是 
让 本 书 对 得 起 你 为 此 花费 的 时 间 、 精 力 和 金钱 ， 让 你 每 学 完 一 
个 章节 都 是 一 次 进步 。 






































稳 盛 和 夫 先 生 在 《 活 法 》 中 有 段 一 直 激 励 着 我 的 话 ， 现 在 
转送 给 正在 阅读 本 书 的 你 : 





“工作 马马虎虎 ， 只 想 在 兴趣 和 游戏 中 寻 疯 快 
活 ， 充 其 量 只 能 获得 一 时 的 快感 ， 绝 不 能 尝 到 从 心底 
涌 出 的 惊喜 和 快乐 ， 但 来 目 工 作 的 喜悦 并 不 像 糖 打 那 





样 一 一 放 进 中 里 就 甜 味 十 足 ， 而 是 需要 从 否 苑 与 艰 半 
中 渗 出 ， 因 此 当 我 们 聚精会神 ， 孜 和 孜 不 倦 ， 殉 服 艰 六 
后 的 成 束 感 ， 世 上 没有 哪 种 喜悦 可 以 类 比 ”。 





“更 何况 人 类 生活 中 工作 占据 了 较 大 的 比重 ， 如 





果 不 能 从 劳动 中 、 工 作 中 获得 充实 感 ， 那 么 即使 从 别 
的 地 方 找到 快乐 ， 最 终 我 们 仍然 会 感到 空虚 和 缺 
Tei » 
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简单 来 说 ， 开 源 软 件 的 特点 就 是 把 软件 程序 与 源 代 码 文件 
一 起 打包 提供 给 用 户 ， 让 用 户 在 不 受 限 制 地 使 用 茶 个 软件 功能 
的 基础 上 还 可 以 按 需 进行 修改 ， 或 编制 成 衍生 产品 再 发 布 出 
去 。 用 户 上 共有 使 用 目 由 、 修 改 目 由 、 重 新 发 布 目 由 以 及 创建 衍 
生 品 的 上 自由。 这 也 正好 符合 了 黑客 和 极 客 对 目 由 的 追求 ， 因 此 
国内 外 开源 社区 的 根基 都 很 庞大 ， 人 和气 也 相当 高 。 



































坦白 来 讲 ， 每 位 投身 于 Linux 行 业 的 技术 人 或 者 程序 员 只 
要 听 到 开源 项 目 就 会 由 囊 地 感到 目 去 ， 这 是 一 种 从 骨子里 市 有 
的 独特 情怀 。 开 源 的 企业 不 单纯 是 为 了 利益 ， 而 是 互相 扶持 ， 
努力 服务 好 更 多 的 用 户 。 开 源 软 件 最 重要 的 特性 有 下 面 这 些 。 




















。 低 风险 : 使 用 财源 软件 无 疑 把 命运 交付 给 他 人 ， 一 旦 封闭 
的 源 代码 没有 人 来 维护 ， 你 将 进退 维 谷 ， 而 且 相 较 于 商业 
软件 公司 ， 开 源 社区 很 少 存在 倒闭 的 问题 。 

e Hun: 相 较 于 财源 软件 产品 ， 开 源 项 目 通 第 是 由 开源 社 











KK RRA, BBS. ARPS MAHA EAR 
多 ， 一 般 的 bug 还 没有 等 爆发 就 已 经 航 修 补 。 

。 低 成 本 : 开源 工作 者 都 是 在 大 后 默默 且 无 偿 地 付出 劳动 成 
果 ， 为 美好 的 世界 贡献 一 份 力量 ， 因 此 使 用 开源 社区 推动 
的 软件 项 目 可 以 节省 大 量 的 人 力 、 物 力 和 财力 。 

e 更 透明 : 没有 哪个 笨重 会 把 木马 、 后 门 等 放 到 开放 的 源 代 
码 中 ， 这 样 无 疑 是 把 目 己 的 罪行 暴露 在 阳光 之 下 。 














但 是 ， 如 果 开 源 软 件 为 了 单纯 追求 “自由 ”而 牺牲 程序 员 的 
利益 ， 这 将 会 影响 程序 员 的 创造 激情 ， 因 此 世界 上 现在 有 60 多 
种 被 开源 促进 组 织 (Open Source Initiative) 认可 的 开源 许可 协 
议 来 保证 开源 工作 者 的 权益 。 对 于 那些 只 知道 一 味 抄 袭 、 算 
改 、 破 解 或 者 盗版 他 人 作品 的 不 法 之 徒 ， 终 归 会 在 某 一 天 收 到 
法 院 的 传票 。 对 于 准备 编写 一 款 开 源 软件 的 开发 人 员 ， 也 非 弟 
建议 先 了 解 一 下 当前 最 热门 的 开源 许可 协议 ， 选 择 一 个 合适 的 
开源 许可 协议 来 最 大 限度 保护 自己 的 软件 权益 。 























e GNU GPL (GNU General Public License，GNU 通 用 公共 
许可 证 ) : 只 要 软件 中 包含 了 遵循 GPL 协 议 的 产品 或 代 
码 ， 该 软件 就 必须 也 遵循 GPL 许可 协议 且 开 源 、 免 费 ， 
此 这 个 协议 并 不 适合 商用 软件 。 遵 循 该 协议 的 开源 软件 数 
量 极 其 庞大 ， 包 括 Linux 系 统 在 内 的 大 多 数 的 开源 软件 都 是 
基于 这 个 协议 的 。GPL 开 源 许 可 协议 最 大 的 4 个 特点 如 下 所 











e 复制 自由 : 人 允许 把 软件 复制 到 任何 人 的 电脑 中 ， 并 且 不 限 
制 复制 的 数量 。 

e 传播 上 自由: 允许 软件 以 各 种 形式 进行 传播 。 

e 收费 传播 : 允许 在 各 种 媒介 上 出 售 该 软件 ， 但 必须 提前 让 
买 家 知道 这 个 软件 是 可 以 免费 获得 的 ;， 因此， 一 般 来 讲 ， 
开源 软件 都 是 通过 为 用 户 提 供 有 偿 服 务 的 形式 来 僵 利 的 。 

e 修改 自由 : 允许 开发 人 员 增 加 或 删除 软件 的 功能 ， 但 软件 
修改 后 必须 依然 基于 GPL 许 可 协议 授权 。 

e BSD (Berkeley Software Distribution. 1H i] Cr ATi 
ho 许可 协议 : 用 户 可 以 使 用 、 修 改 和 重新 发 布 遵循 该 许 
可 的 软件 ， 并 且 可 以 将 软件 作为 商业 软件 发 布 和 销售 ， 前 
提 是 需要 满足 下 面 3 个 条 件 。 




















e 如果 再 发 布 的 软件 中 包含 源 代码 ， 则 源 代 人 码 必须 继续 遵循 
BSD 许 可 协议 。 

如 果 再 发 布 的 软件 中 只 有 二 进 制 程序 ， 则 需要 在 相关 文档 
或 版 权 文 件 中 声明 原始 代码 遵循 了 BSD 协 议 。 

不 允许 用 原始 软件 的 名 字 、 作 者 名 字 或 机 构 名 称 进行 市 场 
推广 。 

Apache 许 可 证 版 本 (Apache License Version) 许可 协 
i: 在 为 开发 人 员 提 供 版 权 及 专利 许可 的 同时 ， 人 允许 用 户 
拥有 修改 代码 及 再 发 布 的 自由 。 该 许可 协议 适用 于 商业 软 
件 ， 现 在 热门 的 Hadoop、Apache HTTP Server、MongoDB 
等 项 目 都 是 基于 该 许可 协议 研发 的 ， 程 序 开发 人 员 在 开发 
遵循 该 协议 的 软件 时 ， 要 严格 遵守 下 面 的 4 个 条 件 。 

















Apache 


e. 该 软件 及 其 衍生 品 必须 继续 使 用 Apache 许 可 协议 。 

。 如 果 修 改 了 程序 源 代码 ， 需 要 在 文档 中 进行 声明 。 

。 奋 软件 是 基于 他 人 的 源 代 码 编写 而 成 的 ， 则 需要 保留 原始 
代码 的 协议 、 商 标 、 专 利 声明 及 其 他 原作 者 声明 的 内 容 信 
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e 如果 再 发 布 的 软件 中 有 声明 文件 ， 则 和 震 在 此 文件 中 标注 
Apache 许 可 协议 及 其 他 许可 协议 。 

MPL (Mozilla Public License，Mozilla 公 共 许 可 ) 许可 协 
W: 相 较 于 GPL 许可 协议 ，MPL 更 加 注重 对 开发 者 的 源 代 
码 需求 和 收益 之 间 的 平衡 。 

MIT (Massachusetts Institute of Technology) 许可 协 

ix: 目前 限制 最 少 的 开源 许可 协议 之 一 ， 只 要 程序 的 开发 
者 在 修改 后 的 源 代 码 中 保留 原作 者 的 许可 信息 即 可 ， 因 此 
普 衣 被 商业 软件 所 使 用 。 
































为 什么 学 习 Linux 系 统 


早 在 20 世 纪 70 年 代 ，UNIX 系 统 是 开源 而 且 人 免费 的 。 但 是 
在 1979 年 时 ，AT&T 公 司 宣 布 了 对 UNIX 系 统 的 商业 化 计划 ， 
随 之 开源 软件 业 转 变 成 了 版 权 式 软 件 产 业 ， 源 代码 被 当 作 商业 
机 密 ， 成 为 专利 产品 ， 人 们 再 也 不 能 自由 地 享受 科技 成 果 。 











于 是 在 1984 年 ，Richard Stallman 面 对 于 如 此 封闭 的 软件 创 
作 环境 ， 发 起 了 GNU 源 代码 开放 计划 并 制定 了 和 著名 的 GPL 许可 
协议 。1987 年 时 ，GNU 计 划 获 得 了 一 项 重大 突破 一 一 gcc 编 译 
器 发 布 ， 这 使 得 程序 员 可 以 基于 该 编译 器 编写 出 属于 自己 的 开 
源 软件 。 随 之 ， 在 1991 年 10 月 ， 分 兰 赫 和 尔 辛 基 大 学 的 在 校生 
Linus Torvalds 编 写 了 一 款 名 为 Linux 的 操作 系统 。 访 系统 因 其 
较 高 的 代码 质量 且 基 于 GNU GPL 许可 协议 的 开放 源 代 码 特 
性 ， 迅 速 得 到 了 GNU 计 划 和 一 大 批 黑 客 程序 员 的 支持 。 随 后 
Linux 系 统 便 进 入 了 如 火 如 茶 的 发 展 阶段 。 














1994 年 1 月 ，Bob Young 在 Linux 系 统 内 核 的 基础 之 上 ， 集 
成 了 众多 的 源 代码 和 程序 软件 ， 发 布 了 红 帆 系统 并 开始 出 售 技 
术 服 务 ， 这 进一步 推动 了 Linux 系 统 的 普及 。1998 年 以 后 ， 随 
着 GNU 源 代码 开放 计划 和 Linux 系 统 的 继续 火热 ， 以 IBM 和 
Inte] 为 首 的 多 家 IT 企业 巨头 开始 大 力 推 动 开 放 源 代码 软件 的 发 
展 。 到 了 2017 年 年 底 ，Linux 内 核 已 经 发 展 到 了 4.13 版 本 ， 并 
且 Linux 系 统 版 本 也 有 数 百 个 之 多 ， 但 它们 依然 都 使 用 Linus 











Torvalds 开 发 、 维 护 的 Linux 系 统 内 核 。RedHat 公 司 也 成 为 了 开 
源 行 业 及 Linux 系 统 的 带头 公司 。 





在 讲 谍 时 ， 我 经 常会 问 同 学 们 一 个 问题 “为 什么 学 习 
Linux 系 统 ? ”很 多 学 生 为 了 让 我 高 兴 ， 直 接 束 说 “因为 Linux 系 
统 是 开源 的 ， 所 以 要 去 学 习 ”。 其 实 这 个 想法 是 完全 错误 的 ! 
开源 的 操作 系统 少 说 有 100 个 ， 开 源 的 软件 至 少 也 有 十 万 个 ， 
为 什么 不 去 逐个 学 习 ? 所 以 上 面谈 到 的 开源 特性 只 是 一 部 分 优 
势 ， 并 不 足以 成 为 您 付出 精力 去 努力 学 习 的 理由 。 











对 于 用 户 来 讲 ， 开 源 精 神 仅 具备 饥 上 添 花 的 效果 ， 因 此 下 
确 的 学 习 动 力 应 该 源 自 于 : Linux 系 统 是 一 款 优秀 的 软件 产 
品 ， 其 有 类 似 UNIX 的 程序 界面 ， 而 且 继承 了 UNIX 的 稳定 性 ， 
能 够 较 好 地 满足 工作 需求 。 





大 多 数 读 者 应 该 都 是 从 微软 的 Windows 系 统 开 始 了 解 计 算 
机 和 网 络 的， 因此 肯定 会 有 这 样 的 想法 “Windows 系 统 很 好 用 
啊 ， 而 且 也 可 足以 满足 日 第 工作 需求 呀 ”。 客 观 来 讲 ， 
Windows 系 统 确 实 很 优秀 ， 但 古 在 安全 性 、 高 可 用 性 与 高 性 能 
方面 却 难以 让 人 满意 。 您 应 该 见 过 下 面 这 张 图 片 。 








E BIB GE LUE, has _been detected and windows has been shut down to 


o your computer. 


st time you' 
computer. If this 


Stop error screen, 


, follow 


or software is hs gs piece lee 


*** STOP: OxO000000A (Ox( 





想必 读者 现在 已 经 能 猜 到 ， 为 什么 要 在 需要 长 期 稳定 运行 
的 网 站 服务 器 上 、 在 处 理 大 数据 的 集群 系统 中 以 及 需要 协同 工 
作 的 环境 中 采用 Linux 系 统 了 。 通 过 下 图 也 可 以 看 出 Linux 系 统 
相 较 于 Windows 系 统 的 具体 优势 。 











Linux Windows 
稳定 且 有 效率 
免费 或 少许 费用 
漏洞 少 且 快速 修补 
多 任务 多 用 户 
更 加 安全 的 用 户 及 文件 权限 策略 
合 小 内 核 程序 的 嵌入 系统 

相对 不 耗资 源 
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在 介绍 常见 的 Linux 系 统 版 本 之 前 ， 首 先 需 要 区 分 Linux 系 
统 内 核 与 Linux 发 行 套件 系统 的 不 同 。 








。Linux 系 统 内 核 指 的 是 一 个 由 Linus Torvalds 负 责 维护 ， 提 
供 硬件 抽象 层 、 硬 盘 及 文件 系统 控制 及 多 任务 功能 的 系统 
核心 程序 。 

。Linux 发 行 套 件 系 统 是 我 们 第 说 的 Linux 操 作 系 统 ， 也 即 是 
由 Linux 内 核 与 各 种 常用 软件 的 集合 产品 。 


全 球 大 约 有 数 百 丈 的 Linux 系 统 版 本 ， 每 个 系统 版 本 虱 有 
目 己 的 特性 和 目标 人 群 ， 下 面 将 可 以 从 用 户 的 角度 选 出 最 热门 
的 几 球 进行 介绍 。 


本 书 全 篇 将 以 “Linux 系 统 ” 来 蔡 代 “Linux 发 行 套件 系统 ”这 个 词 。 








红 帆 企业 版 Linux (RedHat Enterprise Linux, 

RHEL) : 红 帽 公司 是 全 球 最 大 的 开源 技术 厂商 ，RHEL 
是 全 世界 内 使 用 最 广泛 的 Linux 系 统 。RHEL 系 统 具 有 极 强 
的 性 能 与 稳定 性 ， 并 且 在 全 球 范围 内 拥有 完善 的 技术 文 

持 。RHEL 系 统 也 是 本 书 、 红 帽 认 证 以 及 众多 生产 环境 中 


EA 
‘WS 


社区 企业 操作 系统 (Community Enterprise Operating 
System, CentOS) : 通过 把 RHEL 系 统 重 新 编译 并 发 布 给 
用 户 免 费 使 用 的 Linux 系 统 ， 具 有 广泛 的 使 用 人 和 群 。 
CentOS 当 前 已 被 红 帽 公司 “收编 ”。 











e Fedora: 由 红 帆 公司 发 布 的 加 面 版 系统 套件 (目前 已 经 不 
限于 加 面 版 ，”。 用 户 可 免费 体验 到 最 新 的 技术 或 工具 ， 这 
些 技术 或 工具 在 成 熟 后 会 被 加 入 到 RHEL 系 统 中 ， 因 此 
Fedora 也 称 为 RHEL 系 统 的 “试验 田 "。 运 维 人 员 如 果 想 时 刻 
保持 自己 的 技术 领先 ， 就 应 该 多 关注 此 类 Linux 系 统 的 发 展 
变化 及 新 特性 ， 不 断 改 变 自 己 的 学 习 方向 。 














openSUSE 


openSUSE: iA fe EI KEA Linux At, FESS 
围 内 有 着 不 错 的 声誉 及 市 场 占 有 率 。 








e Gentoo: 具有 极 高 的 和 目 定制 性 ， 操 作 复 杂 ， 因 此 适合 有 经 
验 的 人 员 使 用 。 读 者 可 以 在 学 习 完 本 书后 尝试 一 下 该 系 
统 。 








e Debian: 稳定 性 、 安 全 性 强 ， 提 供 了 免费 的 基础 文 持 ， 可 
以 民 好 地 支持 各 种 硬件 染 构 ， 以 及 提供 近 十 万 种 不 同 的 开 
源 软件 ， 在 国外 拥有 很 高 的 认可 度 和 使 用 率 。 








e Ubuntu: 是 一 款 派 生 自 Debian 的 操作 系统 ， 对 新 蒜 人 硬件 具 
有 极 强 的 兼容 能 力 。Ubuntu 与 Fedora 都 是 极其 出 色 的 Linux 
桌面 系统 ， 而 且 Ubuntu 也 可 用 于 服务 器 领域 。 





现在 国内 大 多 数 Linux 相 关 的 图 书 都 是 围绕 CentOS 系 统 编 
写 的 ， 作 者 大 多 也 会 给 出 围绕 CentOS 进 行 写作 的 一 系列 理 
由 ， 但 是 很 多 理由 都 站 不 住 脚 ， 根 本 没有 剖析 到 CentOS 系 统 
与 RHEL 系 统 的 本 质 关 系 。CentOS 系 统 是 通过 把 RHEL 系统 释 
放出 的 程序 源 代码 经 过 二 次 编译 之 后 生成 的 一 种 Linux 系 统 ， 
其 命令 操作 和 服务 配置 方法 与 RHEL 完 全 相同 ， 但 是 去 掉 了 很 
多 收费 的 服务 套件 功能 ， 而 且 还 不 提供 任何 形式 的 技术 支持 ， 
出 现 问题 后 只 能 由 运 维 人 员 自 己 解决 。 经 过 这 般 分 析 基 本 上 可 
以 判断 出 ， 选 择 CentOS 的 理由 只 剩 下 一 一 免费 ! 当 人 们 大 举 
免费 、 开 源 、 正 义 的 旗帜 来 宣扬 CentOS 系 统 的 时 候 ， 殊 不 知 
CentOS 系 统 其 实 早 在 2014 年 年 初 就 已 经 被 红 帽 公司 “收编 "， 当 
前 只 是 战略 性 的 免费 而 已 。 再 者 说 ， 根 据 GNU GPL 许可 协 
议 ， 我 们 同样 也 可 以 免费 使 用 RHEL 系 统 ， 甚 至 是 修改 其 代码 
创建 衍生 产品 。 开 源 系 统 在 自由 程度 上 没有 任何 差异 ， 更 无 关 
道德 问题 。 





























本 书 是 基于 最 新 的 RHEL 7 系统 编写 的 ， 书 中 内 容 及 实验 
完全 通用 于 CentOS、Fedora 等 系统 。 也 惑 是 说 ， 当 您 学 完 本 书 
后 ， 即 便 公司 内 的 生产 环境 部 车 的 是 CentOS 系 统 ， 也 照样 可 
以 搞 得 定 。 更 重要 的 是 ， 本 书 配套 资料 中 的 ISO 镜像 与 红 帆 
RHCSA 及 RHCE 考 试 基本 保持 一 致 ， 因 此 更 适合 备考 红 帽 认 证 
的 考生 使 用 。 














© 随 书 配备 的 ISO 镜像 文件 下 载 地 址 : 


http://www.linuxprobe.com/tools 


e 深度 评 解 红 帆 RHCSA、RHCE、RHCA 认 证 : 


http://www.linuxprobe.com/redhat-certificate 


优秀 的 RHEL 7 系统 





本 小 节 的 内 容 是 我 在 2015 年 写 给 学 员 的 一 篇 文章 ， 现 在 RHEL 7 系 
统 已 经 经 过 近 三 年 的 迭代 更 新 ， 此 时 再 回 看 这 篇 文章 ， 发 现 我 的 预测 
还 是 很 准确 吧 。 当 前 ， 国 内 大 多 数 机 房 都 已 经 部 署 了 RHEL 7 系统 ， 
内 外 多 家 银行 机 构 、 保 险 公司 系统 也 纷纷 上 线 CentOS 7 或 RHEL 7 系 
统 ， 但 我 依然 想 引 用 这 篇 文章 来 帮助 读者 了 解 RHEL 7 系统 ， 而 且 我 也 
深信 这 篇 文章 同样 也 会 适用 于 未 来 的 RHEL 8 系统 。 











2014 年 年 末 ，RedHat 公 司 推出 了 当前 最 新 的 企业 版 Linux 
系统 一 RHEL 7， 彼 时 国内 外 各 大 媒体 都 给 了 不 少 特写 镜 
头 ， 行 业 也 给 予 了 硕大 的 期 符 。 但 是 ， 时 至 今日 RHEL 7 系统 
的 市 场 占有 率 却 一 直 不 温 不 火 ， 于 是 有 人 开始 对 RHEL 7 系统 
的 未 来 表示 担心 ， 甚 至 有 人 还 拿 出 各 种 论调 来 唱 襄 Linux 系 
统 ， 和 觉得 开源 三 丙 已 经 过 了 事业 最 高 点 ， 要 在 服务 器 领域 让 步 
于 Windows 系 统 了 。 这 些 话 其 实 并 没 必 要 去 反驳 ， 任 何 一 个 产 
品 都 会 有 其 拥 征 和 黑 粉 ， 时 间 会 癌 所 有 人 证 明 一 切 。 我 们 现在 
只 是 来 单纯 地 聊 一 聊 这 个 RHEL 7 系统 。 














在 正式 开 聊 之 前 ， 和 希望 读者 对 Linux 系 统 特性 和 运 维 领域 
有 基本 的 了 解 ， 知 道 Linux 系 统 在 服务 器 领域 中 占据 着 不 可 小 
家 的 市 场 份额 ， 认 识 到 RedHat/ 商 对 Linux 系 统 及 整个 开源 行 
业 的 重要 影响 ， 更 知道 CentOS 系 统 其 实 是 RHEEL 系 统 的 衍生 
品 。 如 果 以 前 使 用 过 一 段 时 间 的 RHEL 7 系统 ， 我 们 就 更 能 顺 
畅 地 讨论 “ 红 帽 Linux 系 统 是 否 是 一 个 失败 的 产品 ”这 个 问题 。 








我 们 先 来 看 一 个 泛 手 的 热 议 问题 : “为 什么 半年 过 去 了 ， 
RHEL 7 系统 的 市 场 份 额 依然 不 温 不 火 ” 要 不 要 返回 去 学 习 老 
版 本 的 Linux 系 统 ? ”甚至 有 阴谋 论说 美国 在 使 用 新 版 本 的 
Linux 系 统 来 搜集 全 球 信息 ， 告 诫 我 们 干 万 不 要 去 页。 这 个 问 
题 必须 要 回应 ， 否 则 更 多 的 阴谋 论 会 层出不穷 ， 甚 至 会 让 国内 
某 些 认 知 能 力 人 欠缺 的 媒体 对 开源 行业 产生 误解 甚至 曲解 。 























基于 前 面 提 到 的 与 读者 共有 的 经 验 共 识 和 篇 幅 限 制 ， 下 面 
的 论证 速度 会 比较 快 ， 也 会 很 有 意思 。 首 先 ，RHEL 是 企业 版 
的 服务 器 系统 而 不 是 用 来 玩 要 折腾 的 桌面 机 系统 ， 更 何况 作为 
桌面 操作 系统 的 Windows 7 在 2009 年 7 月 14 日 发 布 之 后 ， 整 整 用 
了 3 年 才 开 始 真 正 普 及 ， 难 道 在 2009 年 到 2013 年 间 ，Windows 7 
就 是 失败 的 产品 吗 ? 再 者 ，RHEL 7 系统 创新 式 地 集成 了 
Docker 虚 拟 化 技术 ， 支 持 XFS 文 件 系 统 ， 兼 容 微软 的 身份 管 
理 ， 并 采用 systemd 作 为 系统 初始 化 进程 ， 其 性 能 和 兼容 性 相 
较 于 之 前 版 本 都 有 了 很 大 的 改善 ， 很 明显 是 一 球 非 常 优秀 的 操 
作 系 统 。 最 后 ， 其 实 单 从 纳入 OpenStack 和 Docker 的 决策 上 来 
讲 ， 束 应 该 相信 红 帆 的 开发 团队 不 是 在 闭门造车 。 因 此 应 该 重 
新 考虑 到 底 是 哪里 出 了 问题 。 























运 维 人 员 在 心里 经 常会 想 :“ 现 在 的 环境 跑 得 好 好 的 ， 为 
什么 要 换 呢 ? ”重新 部 署 生产 环境 不 是 说 装 上 操作 系统 万 事 大 
吉 ， 也 不 是 把 软件 随便 安装 上 束 能 招 屁 股 走 人 的 ， 还 要 考虑 升 
级 市 来 的 风险 。 





。 日 后 的 生产 环境 出 了 问题 ， 谁 来 负 贡 ? 

© 有 旧 的 软件 依然 能 售 与 新 系统 兼容 ? 

。 新 的 系统 或 软件 是 否 有 bug? 

e 安全 性 如 何 ， 审 计 怎 么 做 ? 

。 之 前 购买 的 第 三 方 技术 文 持 古 否 可 以 具备 相应 的 能 力 ? 














。 升 级 后 是 否 会 影响 到 某 些 软件 的 版 权 ， 是 否 需要 重新 付 
R? 

。 不 习惯 新 系统 带 来 的 变化 怎么 办 ? 

。 费 力 升级 后 对 自己 有 什么 好 处 ? 


客观 来 讲 ， 这 次 RHEL 7 系统 的 改变 实在 太 大 ， 最 重要 的 
是 它 采 用 了 systemd 作 为 初始 化 进程 。 这 样 一 来 ， 几 乎 之 前 所 
有 的 运 维 自动 化 脚本 都 需要 修改 。 那 么 ， 到 底 还 要 不 要 升级 到 
RHEL 7? 当然 ， 也 不 是 说 服务 器 机 房 中 的 生产 环境 从 不 更 新 
换代 ， 当 工作 需求 超过 了 当前 版 本 的 能 力 范围 时 ， 就 必须 要 进 
行 升级 。 比 如 ，rsyslogd 日 志 记 录 服 务 在 RHEL 6 系统 中 的 版 本 
是 5.8， 而 现在 最 新 的 版 本 已 经 是 8.1。 这 两 个 版 本 之 间 差 了 3 个 
大 的 主 版 本 号 ， 其 功能 就 有 了 很 大 的 差距 ， 您 觉得 会 一 直 用 旧 
的 版 本 吗 ? 





























早 在 2014 年 年 初 ，Fedora 系 统 首 次 采用 了 systemd 系 统 初 始 
化 进程 ， 当 时 我 就 断言 RHEL 7 系统 也 会 使 用 systemd， 所 以 当 
即 更 新 了 自己 的 培训 课程 。 这 也 让 身 在 其 他 培训 机 构 还 在 学 习 
init 参 数 的 用 户 新 生 艳 羡 。 所 以 ， 不 论 是 学 习 Linux 还 是 编程 语 
言 ， 都 应 该 选择 当前 稳定 且 最 新 的 版 本 作为 学 习 环 境 。 


























e 稳定 : 无 论 是 进行 开发 还 是 运 维 ， 稳 定 压 到 一 切 。 








e 最 新 : 老 版 本 可 能 会 有 更 大 的 概率 存在 安全 漏洞 或 者 功能 
缺陷 ， 而 新 版 本 不 仅 出 现 漏 洞 的 概率 小 ， 而 且 即 便 出 现 漏 
洞 ， 也 会 快速 得 到 众多 开源 社区 和 企业 的 响应 并 更 快 地 修 
复 。 








我 每 次 在 公开 场合 讲座 时 都 会 表达 这 样 一 个 观点 : “我 们 
并 不 是 因为 开源 而 喜欢 Linux， 而 是 因为 Linux 系 统 真 的 非常 优 
郁 ， 开 源 精 神 仅 仪 是 锦上添花 而 已 。” 我 们 在 前 文中 己 经 狠 狠 
地 肯定 了 Linux 系 统 对 运 维 行业 其 至 是 对 世界 的 影响 。 大 家 要 
做 的 束 是 去 相信 我 对 运 维 行业 未 来 发 展 的 判断 ， 然 后 放手 来 学 
习 吧 。 














了 解 红 帽 认证 

红 帽 公司 成 立 于 1993 年 ， 是 全 球 首 家 收入 超 10 亿 美元 的 开 
源 公 司 ， 总 部 位 于 美国 ， 分 文 机 构 遍 布 全球 。 红 帽 公司 作为 全 
球 领 先 的 开源 和 Linux 系 统 提供 商 ， 其 产品 已 被 业界 广泛 认可 
并 使 用 ， 尤 其 是 RHEL 系 统 在 业内 拥有 超 高 的 Linux 系 统 市 场 占 
有 率 。 红 帽 公司 除了 提供 操作 系统 之 外 ， 还 提供 了 虚拟 化 、 中 
间 件 、 应 用 程序 、 管 理 和 面向 服务 架构 的 解决 方案 。 























红 帆 认证 是 由 红 帽 公司 推出 的 Linux 认 证 ， 该 认证 被 认为 
是 Linux 行 业 力 至 整个 芽 领域 价值 最 高 的 认证 之 一 。 红 帽 认证 
考试 全 部 采用 上 机 形式 ， 在 考察 学 生 基 础 理论 能 力 的 同时 还 考 


察 了 实践 动手 操作 以 及 排 错 能 力 。 红 帽 公司 针对 红 帽 认证 制定 
了 完善 的 专业 评估 与 认证 标准 ， 其 认证 主要 包括 红 帆 认证 系统 
管理 员 (RHCSA) 、 红 帽 认 证 工程 师 (RHCE) 与 红 帽 认 证 架 
构 师 (RHCA) 。 





2014 年 6 月 10 日 ， 红 帽 公司 在 发 布 新 版 红 帆 企业 版 系统 
(RHEL 7) 的 当天 即 在 红 帆 英文 官网 更 新 了 其 对 RHCSA 与 
peek 训 政 策 的 调整 ， 考 生 只 有 先 通过 红 帽 RHCSA 认 证 后 才 

取 红 帽 RHCE 认 证 。 














m 架构 师 -RHCA 

* 在 Linux 和 开源 方面 的 技术 和 架 
构 领 军人 物 

牢 从 数据 中 心 到 终端 息 面 的 Linux 

系统 的 设计 、 计 划 、 部 署 及 全 面 

管理 








m Tiízlh - RHCE 图 ”系统 管理 员 - RHCSA 

k SEACH Linux ARS SS. 网络 * 安装 和 调试 Linux 系统 、 安 全 性 
设备 、 网 络 安全 .实际 问题 的 诊断 设施 ， 并 连接 局 域 和 广域网 络 
和 解决 


红 帆 认证 进 阶 等 级 图 


红 帆 认证 系统 管理 员 (Red Hat Certified System 
Administrator, RHCSA) 属于 Linux 系 统 的 初级 认证 ， 比 较 适 


合 Linux 爱 好 者 。 该 认证 要 求 考 生 对 Linux 系 统 有 一 定 的 了 解 ， 
并 且 能 够 熟练 使 用 Linux 命 令 来 完成 以 下 任务 : 





。 管 理 文件 、 目 录 、 文 档 以 及 命令 行 环 境 ; 

。 使 用 分 区 、LVM 还 辑 卷 管理 本 地 存储 ; 

。 安装 、 更 新 、 维 护 、 配 置 系统 与 核心 服务 ; 

e 康 练 创建 、 修 改 、 删 除 用户 与 用 户 组 ， 并 使 用 LDAP 进 行 
集中 目录 身份 认证 ; 

e. 熟练 配置 防火 墙 以 及 SELinux 来 保障 系统 安全 。 
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红 帆 认证 管理 员 (RHCSA) 证 书 示 例 





红 帽 认证 工程 师 (Red Hat Certified Engineer, RHCE) 属 
于 Linux 系 统 的 中 级 水 平 认证 ， 难 度 相 对 RHCSA 认 证 来 讲 更 
大 ， 而 且 要 求 考生 必须 已 获得 RHCSA 认 证 。 该 认证 适合 有 基 
础 的 Linux 运 维 管理 员 ， 主 要 考察 对 下 列 服务 的 管理 与 配置 能 
Jj: 





e. 熟练 配置 防火 墙 规则 链 与 SElinux 安 全 上 下 文 ; 

e 配置 iSCSI〈 互 联网 小 型 计算 机 系统 接口 ) 服务; 

。 编写 Shell 脚 本 来 批量 创建 用 户 、 自 动 完成 系统 的 维护 任 
务 ; 

。 配 置 HTTP/HTTPS 网 络 服务 ; 

。 配置 FTP 服 务 ; 

。 配置 NFS 服 务 ; 

e 配置 SMB 服 务 ; 

e. 配置 SMTP 服 务 ; 

e 配置 SSH 服 务 ; 

。 配 置 NTP 服 务 。 
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红 帽 认 证 工程 师 (RHCE) 证 书 示例 


红 帽 认证 架构 师 (Red Hat Certified Architect, RHCA) JE 
于 Linux 系 统 的 最 高 级 别 认 证 ， 是 公认 的 Linux 操 作 系统 顶级 认 
证 ， 目 前 中 国 仅 有 不 到 1000 人 《2017 年 更 新 数据 ) 持 有 该 认 
证 。 考 生 需 要 在 获得 RHCSA 与 RHCE 认 证 后 再 完成 5 门 课程 的 
考试 才能 获得 RHCA 认 证 ， 因 此 难度 最 大 ， 备 考 时 间 最 长 ， 费 
用 也 最 高 (考试 费 约 在 1.8 万 元 ~2.1 万 元 人 民 币 〉。 该 认证 考 
察 的 是 考生 对 红 帽 卫星 服务 、 红 帽 系统 集群 、 红 帽 虚 拟 化 、 系 
统 性 能 调 优 以 及 红 帽 云 系统 的 安装 搭建 与 维护 能 
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红 帽 认证 架构 师 (RHCA) 证 书 示 例 


RHCA 高 分 技巧 





红 帽 RHEL 7 版 本 的 RHCA 认 证 需要 完成 至 少 5 门 考试 。 这 5 
门 考试 的 时 间 不 同 ， 但 均 为 210 分 合格 (70%) 。 而 且 红 帽 公 

司 非常 注重 RHCA 架 构 师 认证 的 实用 性 ， 所 以 课程 总 是 在 随行 
业 趋 势 而 不 断 调 整 。 








OA 欲 取得 红 帽 RHCA 认 
证 ， 您 必须 通过 以 下 任意 5 门 认证 考试 。 


考试 代码 


认证 名 称 


红 帽 OpenStack 认证 系统 管理 员 考 试 














红 帽 混合 云 管理 专业 技能 证 书 考试 





红 帆 混合 云 存储 专业 技能 证 书 考 试 


红 帽 认 证 JBoss 管理 员 考 试 


红 帽 平台 即 服务 专业 技能 证 书 考试 


红 帽 认 证 虚拟 化 管理 员 考 试 


红 帆 部 车 和 系统 管理 专业 技能 证 书 考试 





红 帆 服务 器 固化 专业 技能 证 书 考试 


红 帆 集群 和 存储 管理 专业 技能 证 书 考试 





红 帽 性 能 调 优 专业 技能 证 书 考试 





本 书 组 织 结构 


第 1 章 ， 部 署 虚拟 环境 安装 Linux 系 统 : 从 零 基 础 详细 讲解 
了 虚拟 机 软件 与 红 帽 Linux 系 统 ， 完 整 演 示 了 VM 虚拟 机 的 
安装 与 配置 过 程 ， 以 及 红 帽 RHEL 7 系统 的 安装 、 配 置 过 程 
和 初始 化 方法 。 此 外 ， 本 章 还 涵盖 了 在 Linux 系 统 中 找 回 
root 管 理 员 密码 、RPM 与 Yum 软 件 仓库 的 知识 ， 以 及 RHEL 
7 系统 中 systemd 初 始 化 进程 的 特色 与 使 用 方法 。 


第 2 章 ， 新 手 必 须 掌 握 的 Linux 命 令 : 本 章 首先 介绍 系 
统 内 核 和 Shell 终 端的 关系 与 作用 ， 然 后 介绍 bash 解 释 器 的 4 
大 优势 并 学 习 Linux 命 令 的 执行 方法 。 本 章 还 精 挑 细 选 了 
数 十 个 Linux 命 令 ， 它 们 与 系统 工作 、 系 统 状态 、 工 作 目 
录 、 文 件 、 目 录 、 打 包 压 缩 与 搜索 等 主题 相关 。 学 习 这 些 
最 基础 的 Linux 命 令 ， 可 以 为 今后 学 习 更 复杂 的 命令 和 服务 
做 好 必 备 知识 铺垫 。 

















第 3 章 ， 管 道 待 、 重 定 回 与 环境 变量 : 本 章 讲 解 了 与 
文件 读 写 操作 有 关 的 重 定 癌 技术 的 5 种 模式 ， 让 读者 通过 
实验 切实 理解 每 个 重 定向 模式 的 作用 ， 解 决 输出 信息 的 保 
存 问 题 ， 然 后 深入 讲解 了 管道 命令 符 ， 帮 助 读者 掌握 命令 
之 间 的 搭配 使 用 方法 ， 进 一 步 扣 高 命令 输出 值 的 处 理 效 
率 ; 随后 通过 讲解 Linux 系 统 命令 行 中 的 通配符 和 常见 转 义 
从， 让 您 输入 的 Linux 命 令 具有 更 准确 的 意义 ， 为 下 一 章 














学 习 编 写 Shell 脚 本 打 好 功底 。 


第 4 章 ，Vim 编 辑 器 与 Shell 命 令 脚 本 : 本 章 讲 解 了 如 
何 使 用 Vim 编 辑 器 来 编写 、 修 改 文档 ， 然 后 通过 逐个 配置 
主机 名 称 、 系 统 网 卡 以 及 Yum 软 件 仓库 参数 文件 等 实验 ， 
帮助 读者 加 深 Vim 编 辑 器 中 诸多 命令 、 快 捷 键 、 模 式 切 换 
方法 的 理解 ， 然 后 把 前 面 章节 中 讲解 的 Linux 命 令 、 命 令 
语法 与 Shell 脚 本 中 的 各 种 流程 控制 语句 通过 Vim 编 辑 器 写 
到 Shell 脚 本 中 结合 到 一 起 ， 实 现 最 终 能 够 目 动 化 工作 的 肢 
本 文件 ， 本 章 最 后 演示 了 怎样 通过 at 命 令 与 crond 计 划 任 务 
服务 来 分 别 实现 一 次 性 的 系统 任务 设置 和 长 期 性 的 系统 任 
务 设置 ， 从 而 让 日 常 的 工作 更 加 高 效 ， 更 自动 化 。 














Bom, HPA RELA: 本 章 详 细 讲 解 了 文件 
的 所 有 者 、 所 属 组 以 及 其 他 人 可 对 文件 进行 的 读 GO 与 
Cw) 执行 (x) 等 操作 ， 以 及 如 何在 Linux 系 统 中 添加 、 
删除 、 修 改 用 户 账 户 信息 。 我 们 还 可 以 使 用 SUID、SGID 
与 SBIT 特 殊 权 限 更 加 灵活 地 设置 系统 权限 功能 ， 来 弥补 对 
文件 设置 一 般 操 作 权限 时 所 带 来 的 不 足 。 隐 藏 权限 能 够 给 
系统 增加 一 层 隐 形 的 防护 层 ， 让 黑客 最 多 只 能 查看 关键 日 
志 信 息 ， 而 不 能 进行 修改 或 删除 。 而 文件 的 访问 控制 列表 
(Access Control List, ACL) 可 以 进一步 让 单一 用 户 、 用 
户 组 对 单一 文件 或 目录 进行 特殊 的 权限 设置 ， 让 文件 具有 




















能 满足 工作 需求 的 最 小 权限 吧 。 本 章 最 后 还 将 讲解 如 何 使 
用 su 命令 与 sudo 服 务 让 普通 用 户 共 备 超 级 管理 员 的 权限 ， 
不 仅 可 以 满足 日 钊 的 工作 需求 ， 还 可 以 确保 系统 的 安全 
tE 








第 6 章 ， 存 储 结构 与 磁盘 划分 : 本 章 详细 地 分 析 了 
Linux 系 统 中 最 常见 的 Ext3、Ext4 与 XFS 文 件 系统 的 不 同 之 
处 ， 并 市 领 各 位 读者 着 重 练习 人 硬盘 设备 分 区 、 格 式 化 以 及 
挂 载 等 常用 的 硬盘 管理 操作 ， 以 便 熟 练 掌握 文件 系统 的 使 
用 方法 。 在 打下 坚实 的 理论 基础 与 完成 一 些 相关 的 实践 练 
习 后 ， 我 们 还 将 进一步 完整 地 部 署 SWAP (204%) 分 区 、 
配置 quota 磁 盘 配 额 服 务 ， 以 及 掌握 in 命令 带 来 的 软 硬 链 
接 。 

















第 7 章 ， 使 用 RAID 与 LVM 人 磁盘 阵列 技术 : 本章 深入 
讲解 了 各 个 第 用 RAID 技 术 方 案 的 特性 ， 并 通过 实际 部 闭 
RAID 10. RAID 5+ 备 份 盘 等 方案 来 更 直观 地 奉 看 RAID 的 
强大 效果 ， 以 便 进 一 步 满 足 生 产 环境 对 硬盘 设备 的 MO 读 写 
速度 和 数据 见 余 备份 机 制 的 需求 。 同 时 ， 考 虑 到 用 户 可 能 
会 动态 调整 存储 资源 ， 本 章 还 将 介绍 LVM (Logical 
Volume Manager, 148457 Eas) 的 部 署 、 扩 容 、 缩 小 、 
PRAGA Az EN aX MH BR AB DS RIA e 

















第 8 章 ，iptables 与 firewalld 防 火 墙 : 本 章 讲解 了 RHEL 
7 中 新 增 的 firewalld 防 火 载 与 先前 版 本 中 iptables 防 火 墙 之 间 
的 区 别 ， 并 分 别 使 用 iptables、firewall-cmd、firewall-config 
和 TCP Wrappers 等 防火 墙 策 略 配置 服务 来 完成 数 十 个 根据 
真实 工作 需求 而 设计 的 防火 墙 集 略 配 置 实验 。 在 学 习 完 这 
些 实验 之 后 ， 各 位 读者 不 仅 可 以 熟练 地 过 滤 请 求 的 流量 ， 
还 可 以 基于 服务 程序 的 名 称 对 流量 进行 多 许 和 拒绝 操作 ， 
确保 Linux 系 统 的 安全 性 万 无 一 失 。 


























第 9 章 ， 使 用 ssh 服 务 管理 远程 主机 : 本 章 讲 解 了 如 何 
使 用 nmtui 命 令 配置 网 络 参数 ， 以 及 通过 nmcli 命 令 碍 看 网 
络 信息 并 管理 网 络 会 话 服务 ， 从 而 让 您 能 够 在 不 同 工 作 场 
景 中 快速 地 切换 网 络 运行 参 数 ;， 还 讲解 了 如 何 手工 绑 定 
mode6 模 式 双 网 卡 ， 实 现 网 络 的 负载 均衡 。 本 章 还 深入 介 
绍 了 SSH 协 议 与 sshd 服 务 程序 的 理论 知识 、Linux 系 统 的 远 
程 管理 方法 以 及 在 系统 中 配置 服务 程序 的 方法 ， 并 采用 实 
验 的 形式 演示 了 使 用 基于 密 钥 验证 的 sshd 服 务 程序 进行 远 
程 登录 ， 以 及 使 用 screen 服 务 程 序 远程 管理 Linux 系 统 的 不 
间断 会 话 等 技术 。 


























第 10 章 ， 使 用 Apache 服 务 部 普 静 态 网 站 : 本 章 通过 
对 比 当前 主流 的 web 服务 程序 来 使 读者 更 好 地 理解 各 目的 
优势 及 特点 ， 并 真正 掌握 在 Linux 系 统 中 配置 服务 的 技巧 。 





本 章 还 详细 讲解 了 SELinux 服 务 的 作用 、 三 种 工作 模式 以 
及 策略 管理 方法 ， 确 保 读 者 掌握 SELinux 域 和 SELinux 安 全 
上 下 文 的 配置 方法 。 


第 11 章 ， 使 用 vsftpd 服 务 传输 文件 本 章 讲解 了 什么 
是 文件 传输 协议 (File Transfer Protocol, FTP) ， 以 及 如 
何 部 团 vsftpd 服 务 程序 ， 然 后 深度 剖析 了 vsftpd 主 配置 文件 
中 最 常用 的 参数 及 其 作用 ， 并 完整 演示 了 了 vsftpd 服务 程序 
三 种 认证 模式 的 配置 方法 ;本章 还 涵盖 了 可 插 拔 认证 模块 
的 原理 、 作 用 以 及 实用 配置 方法 。 




















第 12 章 ， 使 用 Samba 或 NFS 实 现 文件 共享 ; 本 章 讲解 
了 Samba 服 务 的 理论 知识 ， 以 及 SMB 协 议 与 Samba 服 务 程 
序 的 起 源 和 发 展 过 程 ， 并 通过 实验 的 方式 部 署 文件 共享 服 
务 来 深入 了 解 Samba 服 务 程序 中 相关 参数 的 作用 ; 还 讲解 
了 如 何 配置 网 络 文件 系统 (Network File System, NFS) 服 
务 来 简化 Linux 系 统 之 间 的 文件 共享 工作 ， 以 及 通过 部 署 
NFS 服 务 在 多 台 Linux 系 统 之 间 挂 载 并 使 用 资源 。 














第 13 章 ， 使 用 BIND 提 供 域名 解析 服务 : 本 草 讲解 了 
DNS 域名 解析 服务 的 原理 以 及 作用 ， 介 绍 了 域名 查询 功能 
中 正 回 解 析 与 反 回 解析 的 作用 ， 实 践 部 署 了 DNS 主 服 务 
器 、DNS 从 服务 恬 、DNS 绥 人 存 服务 器 ， 并 通过 实验 的 方式 





演示 了 如 何在 DNS 主 服务 器 上 部 蜀 正 、 反 解析 工作 模式 ， 
以 便 让 大 家 深刻 体会 到 DNS 域 名 查询 的 便利 和 强大 。 


第 14 章 ， 使 用 DHCP 动 态 管理 主机 地 址 : 本 章 讲解 了 
动态 主机 配置 协议 的 作用 ， 以 及 在 Linux 系 统 中 配置 部 署 
dhcpd 服 务 程序 的 方法 ， 剖 析 了 dhcpd 服 务 程序 配置 文件 内 
每 个 参数 的 作用 ， 并 通过 自动 分 配 IP 地 址 、 绑 定 IP 地 址 与 
MAC 地 址 等 实验 ， 让 各 位 读者 更 直观 地 体会 DHCP 协 议 的 
强大 之 处 。 








第 15 章 ， 使 用 Postifx 与 Dovecot 部 署 邮 件 系 统 : 本 章 
介绍 了 SMTP、POP3、IMAP4 等 常见 的 电子 邮件 协议 ， 以 
及 MUA、MTA、MDA 这 三 种 服务 角色 的 作用 ; 还 完整 地 
演示 了 在 Linux 系 统 中 使 用 Postfix 和 Dovecot 服 务 程序 配置 
电子 邮件 系统 服务 的 方法 ， 重 点 讲解 了 常用 的 配置 参数 ， 
此 外 将 结合 BIND 服 务 程序 提供 的 DNS 域名 解析 服务 来 验 
证 客户 端 主机 与 服务 器 之 间 的 邮件 收发 功能 ， 最 后 还 介绍 
了 如 何在 电子 邮件 系统 中 设置 用 户 别 名 ， 以 帮助 大 家 在 生 
产 环 境 中 更 好 地 控制 、 管 理 电子 邮件 账户 以 及 信箱 地 址 。 





第 16 音 ， 使 用 Squid 部 车 代理 缓存 服务 : 本 章 介绍 了 
代理 服务 的 原理 以 及 作用 、Squid 服 务 程序 正身 解析 和 反问 
解析 的 理论 以 及 配置 方法 。 在 掌握 7 了 Squid 服务 程序 的 标准 





正 向 代理 模式 、 透 明正 向 代理 模式 、 访 问 控制 列表 功能 以 
及 反 回 代理 等 实用 功能 之 后 ， 读 者 不 但 可 以 进一步 理解 代 
理 服 务 ， 提 升 服务 控制 能 力 ， 而 且 在 步 入 运 维 岗 位 后 能 够 
游 甩 有 余地 处 理 相 关 问 题 。 











第 17 章 ， 使 用 iSCSI 服 务 部 团 网 络 存储 : 本 章 开 篇 介 
绍 了 计算 机 硬件 存储 设备 的 不 同 接口 技术 的 优 缺 点 ， 并 由 
此 切入 iSCSI 技术 主题 的 讲解 。 本 章 还 将 带领 大 家 在 Linux 
系统 上 部 署 iSCSI 服 务 端 程序 ， 并 分 别 基 于 Linux 系 统 和 
Windows 系 统 来 访问 远程 的 存储 资源 。 


第 18 章 ， 使 用 MariaDB 数 据 库 管 理 系 统 : 本 章 介 绍 了 
数据 库 以 及 数据 库 管理 系统 的 理论 知识 ， 然 后 介绍 了 
MariaDB 数 据 库 管 理 系统 的 内 容 ， 接 下 来 将 通过 动手 实验 
的 方式 ， 帮 助 各 位 读者 掌握 MariaDB 数 据 库 管 理 系统 的 一 
些 常 规 操作 ;最 后 还 介绍 了 数据 库 的 备份 与 恢复 方法 。 











第 19 章 ， 使 用 PXE+Kickstart 无 人 值守 安装 服务 : 本 
草 介 绍 了 可 以 实现 无 人 值守 安装 服务 的 PXE+Kickstart 服 务 
程序 ， 并 带领 大 家 动手 安装 部 团 PXE + TFTP + FTP + 
DHCP + Kickstart 等 服务 程序 ， 从 而 搭建 出 一 套 可 批量 安 
装 Linux 系 统 的 无 人 值守 安装 系统 。 在 学 完 本 章 内 容 之 后 ， 
运 维新 手 就 可 以 避免 枯燥 乏味 的 重复 性 工作 ， 大 大 提高 系 











统 安装 的 效率 。 


第 20 草 ， 使 用 LNMP 架 构 部 闭 动 态 网 站 环境 : LNMP 
动态 网 站 部 署 架 构 是 一 套 由 Linux + Nginx + MySQL + PHP 
组 成 的 动态 网 站 系统 解决 方案 ， 具 有 免费、 高 效 、 扩 展 性 
强 且 资源 消耗 低 等 优良 特性 。 本 章 首 先 对 比 了 使 用 源码 包 
安装 服务 程序 与 使 用 RPM 软件 包 安 装 服务 程序 的 区 别 ， 然 
后 讲解 了 如 何 手 工 编译 源码 包 并 安装 各 个 服务 程序 ， 以 及 
如 何 使 用 Discuz! X3.2 版 本 论坛 系统 验证 架构 环境 。 


感谢 你 们 相信 并 选择 我 


首先 ， 感 谢 广 大 读者 从 众多 Linux 图 书 中 最 终 选 择 了 本 
书 ， 感 谢 你 们 的 厚爱 与 信任 。 相 信 本 书 不 会 让 你 们 失望 的 。 























其 次 ， 感 谢 跟随 刘 遂 老师 一 起 努力 打拼 的 各 位 成 员 ， 他 们 
是 〈 以 加 入 团队 时 间 排序 ) : ERS. Hk. BREESE. BIR, 
Beene. UE. AGRE. REE. Sl, E, RR DE 
帅 、 陶 武 杰 、 王 浩 、 郭 建 鹏 、 周 晓 雪 、 郝 大 发 、 例 家 兴 、 郑 
帅 、 姜 显赫 、 高 军 、 王 毅 、 任 维 国 、 张 雄 、 周 阳 、 程 伟 、 任 全 
倩 、 吴 向 平 、 华 世 发 。 感 谢 你 们 相信 我 ， 为 了 我 们 共同 的 事业 
而 奋勇 向 前 ， 如 果 没 有 你 们 的 帮助 和 支持 ， 就 不 会 有 现在 的 成 
绩 。 在 过 去 两 年 中 ， 我 们 从 一 个 每 天 只 有 十 几 人 次 访问 的 小 博 
客 ， 发 展 到 了 每 天 将 近 一 万 人 次 访问 的 公众 站 点 ， 在 两 年 内 更 























古 接 连 开 通 了 近 30 个 QQ 技术 交流 群 ， 群 内 读者 已 超过 5 万 入; 
微 信 公 众 号 也 从 0 做 到 了 10 万 粉丝 ， 这 些 都 是 此 前 中 国 任何 一 
本 技术 类 电子 图 书 没 有 达到 的 高 度 和 成 束 。 尤 其 在 最 近 一 年 ， 
我 们 的 发 展 速度 远 远 领 先 于 同行 业 所 有 的 资讯 网 站 和 教育 机 
构 ， 优 质 图 书 内 容 与 读者 口碑 让 我 们 走 的 每 一 步 都 如 此 扎实 。 
现在 我 们 可 以 很 自 蚂 地 讲 :“ 我 们 用 努力 留 住 了 用 户 ， 用 户 看 
到 了 我 们 的 付出 。” 

















再 次 ， 感 谢 人 民 邮 电 出 版 社 的 传道 坤 编辑 。 我 们 在 2015 年 
末 初 次 接触 后 传 老师 便 主动 提起 出 版 本 书 的 想法 ， 随 后 一 起 用 
了 近 2 年 的 时 间 共 同 打磨 本 书 。 感 谢 传 老师 一 直 以 来 给 予 的 信 
任 和 中 此 实用 的 建议 。 感 谢 北京 联合 大 学 应 用 科技 学 院 王 廷 梅 
院 长 在 我 研究 生 进修 教育 学 期 间 的 照顾 和 悉心 培育 ， 是 您 引导 
我 步 入 了 教育 学 和 计算 机 科学 与 技术 专业 。 不 生母 校 ， 不 二 联 
大 。 

















最 后 也 是 最 重要 的 ， 感 谢 我 的 父母 和 妻子 。 当 我 在 2015 年 
说 想 要 写 一 本 Linux 拉 术 图 书 的 时 候 ， 感 谢 你 们 相信 了 我 。 感 
谢 我 的 朗 子 能 够 理解 我 的 压力 ， 一 起 来 协助 管理 在 线 塔 训 班 及 
招生 工作 ， 让 我 有 了 更 多 的 时 间 来 写作 。 如 果 没 有 你 们 的 信任 
和 陪伴 ， 我 不 敢 想 象 目 己 现在 会 是 什么 样子 。 


读者 服务 














本 书 是 一 本 注重 实用 性 的 Linux 技 术 自学 图 书 ， 自 电子 版 
公布 后 日 均 阅 读 量 近 万 次 。 本 书 以 及 后 续 的 进 阶 篇 图 书 将 继续 
一 如 既往 地 人 免费、 完整 地 提供 给 各 位 读者 。 当 前 ， 我 们 正在 世 
界 各 地 部 署 图 书 配套 站 点 的 镜像 服务 器 ， 则 在 用 最 快 的 网 站 响 
应 速度 满足 您 心中 那个 求知 的 小 宇宙 。 此 外 ， 我 们 的 团队 成 员 
在 完善 、 更 新 本 书 内 容 以 及 配套 软件 的 同时 ， 还 将 为 您 收集 、 
整理 值得 每 天 一 看 的 “新 闻 资 讯 ”? 和 “技术 干货 ”。 当 然 ， 也 欢迎 
您 到 我 们 的 QQ 技术 群 (http:/www.linuxprobe.comy/club ) FẸ 
找 技术 大 和 牛 ! 




















而 这 一 切 的 便利 与 服务 ， 只 差 您 现在 的 一 个 选择 ， 赶 紧 拿 
起 手机 扫描 下 面 的 微 信 二 维 码 吧 。 





编辑 手记 


与 刘 肖 老师 初次 相识 是 在 2016 年 。 当 时 因为 自身 的 工作 性 
MAE, ERKENE EAEE, FREN ERHET 
质 出 版 的 资源 ， 并 时 刻 幻 想 着 哪 一 天 也 能 捡 到 个 宝 ， 让 我 有 机 
会 打造 一 本 有 人 焊 球 潜力 的 噩 质量 精品 图 书 。 

















BEAK, (BALA xt rper A 
www.linuxprobe.com 网 站 ， 看 到 他 精心 编写 的 本 书 同名 线 上 教 
程 以 及 真实 用 户 的 全 五 星 好 评 ， 不 由 地 心中 上 暗 喜 “天 不 负 我 ”! 
于 是 ， 马 不 集 蹄 地 给 刘 甫 老师 发 邮件 、 加 QQ， 疝 讨 合 作 事 
宜 。 终 于 ， 在 不 亚 于 “求职 面试 ”难度 的 多 轮 沟通 之 后 ， 我 们 在 
与 兄弟 出 版 社 的 竞争 中 脱颖而出 ， 赢 得 了 刘 老 师 的 “ 廓 心 ”。 然 
后 才 有 了 大 家 现在 看 到 的 这 本 打 关 “异步 社区 ”LOGO 的 《Linux 
BLANCAS). 














在 本 书写 作出 版 期 间 ， 我 经 常会 与 刘 递 老师 进行 交流 ， 讨 
论 稿 件 本 喘 的 问题 、 封 面 设计 事宜 ， 以 及 后 期 的 营销 计划 ， 刘 
老师 所 有 具备 的 专业 、 严 谍 、 细 心 和 执行 力 让 我 深 感 折 服 。 





沟通 多 了 之 后 ， 话 题 也 慢 慢 地 从 图 书本 里 同 外 扩展 ， 工 
fE. Ai. ZEE. VLE RTRs. SEU, REI 





FL, ox -F-E e EYP fS EAST Ag 2p C rf] fih BI) Linux A 
RIGA aR SIS ERO, Xb^uRGAT I ARNEE, E 
i E Lf UJ dee TW ZR BR £L A ES TA Jr e uE 3 XU a ET 
Linx RR EL Ne AIR, th ERKENE 
Linux 系 统 运 维 培 训 以 及 红 帽 认证 课程 培训 的 源 动 力 。 在 这 个 
行业 的 长 期 浸 泽 ， 也 让 他 成 长 为 国内 开源 行业 颇具 影响 力 的 技 
术 大 V。 

















刘 遂 老师 针对 Linux 系 统 培 训 的 教学 思想 相当 具有 前 瞻 性 
和 独特 性 。 他 始终 认为 ， 一 名 优秀 的 全 技术 培训 讲师 应 该 将 技 
术 知 识 进行 提炼 总 结 之 后 再 传授 给 学 生 ， 而 不 能 仅仅 是 一 名 技 
术 知 识 的 搬运 工 。 这 也 是 《Linux 就 该 这 么 学 》 的 写作 原则 。 
在 本 书写 作 过 程 中 ， 刘 肖 老师 真正 做 到 了 断 售 离 ， 他 从 真正 贴 
近 于 新 人 学 习 特 点 的 角度 出 发 ， 抛 痉 了 不 重要 、 不 实用 的 内 
容 ， 着 重 将 笔墨 用 在 了 “重点 、 难 点 知识 的 讲解 ， 以 及 与 理论 
基础 的 结合 、 实 践 ? 方 面 ， 由 此 写 就 了 一 本 最 适合 Linux 新 手 入 
门 的 教程 。 














刘 道 老师 花费 了 近 3 年 时 间 写 作 的 这 本 《Linux 束 该 这 么 
学 》， 前 后 修订 1500 余 次 ， 在 出 版 之 前 又 拿 出 半年 时 间 再 次 修 
正 、 校 对 ， 这 也 从 源头 保障 了 图 书 的 品质 。 当 前 ， 本 书 电子 版 
的 日 均 访问 量 近 10000 次 ， 累 计 在 线 阅 读 人 数 已 达到 百 万 级 
Al, FEA SZ IC BAN E Linux Zt H Al 




















本 书 基 于 最 新 的 红 帽 系统 RHEL 7 编写 ， 但 是 其 内 容 也 通 
用 于 CentOS、EFedora 等 种 见 的 Linux 衍 生 厂 本 。 难 能 可 贵 的 
是 ， 刘 和 遂 老 师 还 在 书 中 讲解 了 红 帆 认证 考试 体系 以 及 考试 要 
求 ， 如 果 您 有 志 于 考取 红 帽 认 证， 也 可 以 与 刘 老 师 进 一 步 交 
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为 了 降低 各 位 读者 的 学 习 门 槛 ， 保 持 学 习 热情 ， 提 高 学 习 
效率 ， 刘 老师 对 本 书 的 内 容 编排 也 是 煞费苦心 。 书 中 的 章节 内 
容 会 保持 适度 的 关联 性 ， 读 者 在 按照 章节 顺序 学 习 之 时 ， 可 以 
通过 “学 新 ”而 起 到 “ 温 故 “的 效果 。 














无 论 读者 学 习 Linux 系 统 的 目的 是 出 于 兴趣 ， 还 是 为 了 诗 
求 一 份 高 新 工作 ， 这 本 高 品质 、 高 颜 值 的 《Linux 就 该 这 么 
学 》 都 是 您 入 门 Linux 系 统 的 首选 教程 。 


Choose it! Buy it! Read it! 
傅 道 坤 


本 书 贡 任 编辑 


第 1l 革 Be Me WIA Re aloe Linux E 





准备 您 的 工具 ; 










安装 配置 VM 虚 拟 机 ; 


安装 您 的 Linux 系 统 ; 


重 置 root 管 理 员 密码 ，; 


RPM〔 红 帽 软 件 包 管 理 器 〉，; 


Yum 软 件 仓库 ; 


systemd 初 始 化 进程 。 








本 章 从 零 基 础 详细 讲解 了 虚拟 机 软件 与 红 帽 Linux 系 统 ， 
完整 演示 了 VM 虚拟 机 的 安装 与 配置 过 程 ， 以 及 红 帽 RHEL 7% 
统 的 安装 、 配 置 过 程 和 初始 化 方法 。 此 外 ， 本 章 还 涵盖 了 在 
Linux 系 统 中 找 回 root 管 理 员 密码 、RPM 与 Yum 软 件 仓库 的 知 
识 ， 以 及 RHEL 7 系统 中 systemd 初 始 化 进程 的 特色 与 使 用 方 
Us 


11 准备 您 的 工具 








所 谓 “ 工 欲 善 其 事 ， 必 先 利 其 器 *"， 在 本 章 学 习 过 程 中 ， 读 
者 需要 搭建 出 为 今后 练习 而 使 用 的 红 帽 RHEL 7 系统 环境 。 您 
不 需要 为 了 练习 实验 而 特意 再 购买 一 台新 电脑 ， 下 文 会 讲解 如 
何 通 过 虚拟 机 软件 来 模拟 出 仿真 系统 。 虚 拟 机 是 能 够 让 用 户 在 
- 台 真 机 上 模拟 出 多 个 操作 系统 的 软件 。 一 般 来 讲 当 前 主流 的 
硬件 配置 足以 胜任 安装 虚拟 机 的 任务 ， 并 且 依 据 刘 中 老师 近 10 
年 的 运 维 技术 学 习 及 多 年 的 在 线 增 训 经 验 来 看 ， 建 议 您 无 论 经 
济 条 件 是 否 人 允许 ， 都 不 应 该 在 学 习 期 间 把 Linux 系 统 安 装 到 真 
机 上 面 ， 因 为 在 学 习 过 程 中 都 免不了 要 “折腾 ”您 的 Linux 操 作 
系统 。 通 过 虚拟 机 软件 安装 的 系统 不 仅 可 以 模拟 出 人 硬件 资源 ， 
把 实验 环境 与 真 机 文件 分 离 保证 数据 安全 ， 更 酷 的 是 当 操 作 失 
误 或 配置 有 误导 致 系统 异常 的 时 候 ， 可 以 快速 把 操作 系统 还 原 
至 出 错 前 的 环境 状态 ， 进 而 减少 重 闭 系统 的 等 竺 时间 “〈 在 真 机 
上 安装 Linux 操 作 系 统 每 次 至 少 需 要 30 分 钟 〉。 
































最 近 几 年 在 讲课 时 ， 总 会 发 现 同 学 们 使 用 的 实验 环境 五 花 
八 门 ， 有 CentOS， 有 RHEL 6， 还 有 Debian 系 统 等 ， 结 果 每 次 
给 他 们 排 错时 都 费心 劳力 ， 苦 不 堪 言 ， 而 且 特 别 无 语 。 就 像 您 
报名 去 学 习 日 料 ， 老 师 用 柳 为 ， 您 非 要 用 长 刀 ， 结 果 寿 司 肯 定 
会 被 切 的 稀 巴 烂 。 聪 明 的 学 生 在 学 习 时 一 定 会 采用 跟 老 师 一 样 








的 工具 和 环境 ， 这 样 出 现 问题 后 可 以 首先 排除 环境 问题 并 迅速 
定位 错误 ， 等 技术 学 的 足够 扎实 了 ， 到 了 生产 环境 中 上 自然 也 就 
具备 了 随心 选择 工具 和 环境 的 能 力 。 所 以 尤其 建议 没有 报名 参 
加 刘 毅 老师 开设 的 付费 塔 训 班 的 同学 ， 一 定 要 充分 发 挥 目 己 的 
目 学 能 力 ， 人 否则 长 期 的 实验 出 错 一 定 会 影响 您 的 学 习 兴 趣 。 

















另外 ， 六 来 也 很 郁 问 ， 其 实 我 在 初中 时 承 有 学 习 Linux 系 
统 的 打算 ， 但 那 时 候 上 网 还 不 便捷 ， 想 要 安装 Linux 系 统 就 必 
须 去 买 光盘 才 行 ， 而 那个 时 候 安 装 Linux 系 统 至 少 需要 6 张 光盘 
CCD-ROM 容 量 大 约 为 700MB) ， 狠 下 心 买 回 家 后 尝试 安装 了 
几 次 却 一 直 报 错 ， 因 为 摘 不 懂 报 错 原 因而 只 能 放弃 了 。2015 年 
春节 前 打扫 屋子 时 又 翻 出 了 这 些 光 盘 ， 这 次 终于 找到 了 当年 出 
错误 的 原因 ， 原 来 是 第 五 张 光盘 被 < 刮 花 "了 ， 系 统 相关 的 依赖 
关系 包 被 损坏 ， 最 终 导 致 Linux 系 统 安装 失败 。 原 本 可 以 早 几 
年 就 可 以 接触 到 Linux 系 统 ， 结 果 因 为 这 个 原因 而 耽搁 ， 真 的 
是 既 郁 问 又 尴 众 ， 所 以 这 里 必须 狠 狠 地 提醒 各 位 同学 : “工具 
ERTE ERRER, DEERE R 









































1.22 ”安装 配置 VM 虚拟 机 


VMware WorkStation 虚 拟 机 软件 是 一 球 保 面 计算 机 虚拟 软 
件 ， 让 用 户 能 够 在 单一 主机 上 同时 运行 多 个 不 同 的 操作 系统 。 
每 个 虚拟 操作 系统 的 便 盘 分 区 、 数 据 配置 都 是 独立 的 ， 而 且 多 
台 虚 拟 机 可 以 构建 为 一 个 局 域 网 。Linux 系 统 对 人 硬件 设备 的 要 
求 很 低 ， 我 们 没有 必要 再 买 一 台电 脑 ， 课 程 实验 用 虚拟 机 完全 
可 以 搞定 ， 而 且 VM 还 文 持 实时 快照 、 虚 拟 网 络 、 拖 忠文 件 以 
及 PXE (Preboot Execute Environment， 预 启动 执行 环境 ) 网 络 
安装 等 方便 实用 的 功能 











可 能 会 有 读者 有 疑问 “为 什么 要 用 收费 的 虚拟 机 产品 来 搭 
建 实验 环境 ， 而 不 是 用 一 些 免 费 的 开源 虚拟 机 软件 呢 ?” 本 书 
前 言 中 讲 到 ， 我 们 学 习 Linux 系 统 的 原 ee es 也 
不 是 因为 它 开 源 ， 而 是 因为 Linux 系 统 真 的 很 好 用 ， 这 个 结论 
同样 也 适用 于 VMware Workstation 这 款 产 品 。 




















运行 下 载 完 成 的 Vmware Workstation 虚 拟 机 软件 包 ， 将 会 
看 到 如 图 1-1 所 示 的 虚拟 机 程序 安装 癌 导 初始 界面 。 











VMWARE* 


WORKSTATION: 


VMware 产品 安装 


TA 正在 准备 VMware Workstation "进行 安装 .… 

















图 1-1 EADAIR I8] 4 8 3 TR 


TE KH UL LACE RIS] 3 I] S TR eB 2 eee, aR- 
2 所 示 。 


H VMware Workstation Pro 224 | ce er es 





欢迎 使 用 VMware Workstation Pro 安装 向 导 


WO R KSTATION; 安装 向 SHE seit AML VMware Workstation Pro 


o HE pi HE. SUI 取消 退出 安装 向 导 。 


可 所 有 1998-2016 VMware, Inc. 保留 所 有 权利 。 ¢ 机 产品 
美国 和 国际 版 权 及 知识 产权 法 保护 。 VMware 产品 受 
beds SOAS Roe AM. 








下 一 步 (N) 取消 





图 1-2 ”虚拟 机 的 安装 癌 导 


在 最 终 用 户 许 可 协议 界面 选中 “我 接受 许可 协议 中 的 条 
天” 复 选 枉 ， 然 后 单 击 * 下 一 步 ? 按 钮 ， 如 图 1-3 所 示 。 


划 VMware Workstation Pro 安装 = A 


最 终 用 户 许 可 协议 
请 认真 阅读 以 下 许可 协议 


VMWARE 最 终 用 户 许可 协议 


请 注意 ， 在 本 软件 的 安装 过 程 中 无 论 可 能 会 出 现任 何 条 款 ， 
使 用 本 软件 都 将 受 此 最 终 用 户 许可 协议 各 条 款 的 约束 。 

重要 信息 ， 请 仔细 阅读 ， 您 一 旦 下 载 、 安 装 或 使 用 本 软件 ， 
您 《自然 人 或 法 人 ) 即 同意 接受 本 最 终 用 户 许可 协议 (“本 
办 议 ”) 的 约束 。 如 果 您 不 同意 本 协议 的 条 款 ， 请 勿 下 载 、 
安装 或 使 用 本 软件 ， 您 必须 删除 本 软件 ,或 在 三 + OA ~ 


| 我 接受 许可 协 说 中 的 条 款 (A) 





[Se ) [上 ~ 步 ®) J| 下 - 步 W | 





图 1-3 ”接受 许可 条 天 


选择 虚拟 机 软件 的 安装 位 置 “ 可 选择 默认 位 置 ) X 
中 “增强 型 键盘 驱动 程序 ” 复 选 框 后 单 击 “ 下 一 步 ? 按 钮 ， 如 图 1-4 
所 示 。 





根据 自身 情况 适当 选择 “启动 时 检查 产品 更 新 ”与 “帮助 完 
35 VMware Workstation Pro” 复 选 框 ， 然 后 单 击 “下 一 步 ” 按 钮 ， 
如 图 1-5 所 示 。 











选中 “桌面 "和 “开始 菜单 程序 文件 夹 * 复 选 框 ， 然 后 单 
击 “ 下 一 步 * 按 钮 ， 如 图 1-6 所 示 。 


^ es 
39) VMware Workstation Pro 安装 


自 定义 安装 
选择 安装 目标 及 任何 其 他 功能 。 


安装 位 置 : 
C:\Program Files (x86)\WMwareWMware Workstation} 


辐 增强 型 键盘 驱动 程序 (需要 重新 引导 以 使 用 此 功能 (E) 
此 功能 要 求 主 机 驱动 器 上 有 具有 10MB 空间 。 





图 1-4 选择 虚拟 机 软件 的 安装 路 径 
期 VMware Workstation Pro: = En 


用 户 体 验 设置 
编辑 默认 设置 以 提高 您 的 用 户 体验 。 





加 | 启动 时 检查 产品 更 新 CC) 
see Workstation Pro 启动 时 ， 检 查 应 用 程序 和 已 安装 软件 组 件 是 否 


DEDAS VMware Workstation 
[8] VMware FREE EGAL EHE? 见 统计 信息 。 


图 1-5 ”虚拟 机 的 用 户 体验 设置 


33 VMware Workstation Pro 安装 = 


快捷 方式 
选择 您 要 放 久 系统 的 快捷 方式 。 





在 以 下 位 置 创建 VMware Workstation Pro 的 快捷 方式 ; 
桌面 (D) 
Fa FAS) 


























图 1-6 ”虚拟 机 图 标的 快捷 方式 生成 位 置 
一 切 准 备 就 绕 后 ， 单 击 “ 安 装 ” 按 钮 ， 如 图 1-7 所 示 。 





| 5 VMware Workstation Pro 安装 = LS 


已 准备 好 安装 VMware Workstation Pro 





单 击 安装 开始 安装 。 单 击 上 一 步 查看 或 更 改 任何 支 装 设置 。 单 击 取消 退出 向 








图 1-7 ”准备 开始 安装 虚拟 机 


进入 安装 过 程 ， 此 时 要 做 的 就 是 耐心 等 待 虚拟 机 软件 的 安 
装 过 程 结 束 ， 如 图 1-8 所 示 。 


re VMware Workstation Pro 安装 {= Sa 


正在 安装 VMware Workstation Pro re 


安装 向 导 正 在 安装 VMware Workstation Pro; AAt -o 





状态 ; iE 
_ 








图 1-8 等 竺 虚拟 机 软件 安装 完成 


大 约 5 一 10 分 钟 后 ， 虚 拟 机 软件 便 会 安装 完成 ， 然 后 再 次 
单 击 “ 完 成 ”按钮 ， 如 图 1-9 所 示 。 





双击 如 面 上 生成 的 虚拟 机 快捷 图 标 ， 在 弹出 的 如 图 1-10 所 
示 的 界面 中 ， 输 入 许可 证 密 钥 ， 或 者 选择 试用 之 后 ， 单 击 “ 继 
续 ” 按 钮 〈 这 里 选择 的 是 “我 希望 试用 VMware Worksatation 12 
30 天 ” 复 选 框 ) 。 





在 出 现 “ 欢 迎 使 用 VMware Workstation 12” 界 面 后 ， 单 
击 “ 完 成 ”按钮 ， 如 图 1-11 所 示 。 





在 桌面 上 再 次 双击 快捷 方式 ， 此 时 便 看 到 了 虚拟 机 软件 的 
管理 界面 ， 如 图 1-12 所 示 。 


gj VMware Workstation Pro 安装 [e| xX 










VMware Workstation Pro 安装 向 导 已 完成 


WORKSTATION? AERE 


eRe ee 请 按 下 面 的 "许可 证 IR 

















图 1-9 ”虚拟 机 软件 安装 癌 导 完成 界面 








欢迎 使 用 VMware Workstation 12 m | 


(9 VMware Workstation 12 


© 我 有 VMware Workstation 12 的 许可 证 密 钥 (H): 


是 天 需要 许可 证 密 钼 ? 


© 我 希望 试用 VMware Workstation 12 30 天 (W) 


输入 有 效 的 电子 邮件 地 址 ， 开 始 为 期 30 天 的 免费 试用 。 您 同 
意 接 收 VMware 发 送 的 关于 VMware Workstation 的 促 宵 电 


£o 


root@linuxprobe.com| 








图 1-10 ”虚拟 机 软件 许可 验证 界面 


| VLA VMware Workstation 12 mm [ 


(9 VMware Workstation 12 


感谢 您 评估 VMware Workstation 12! 


VMware Workstation 12 是 最 先进 的 虚拟 化 软件 ， 广 泛 支 持 多 种 
操作 系统 ， 可 提供 极其 丰富 的 点 面 用 户 体验 。 


我 们 相信 您 一 定 会 点 现 VMware Workstation 12 应 用 程序 将 成 为 
您 提高 生产 效率 、 开 展 半 务 所 不 可 或 热 的 利器 。 


评估 期 到 期 后 ， 您 可 以 通过 VMware 在 线 商 店 或 我 们 的 代理 商 购 
买 许可 证 密 钥 。 


| 








图 1-11 虚拟 机 软件 的 感谢 界面 


(@ VMware Workstation |. | E) jim 





za 





文件 日 #86 ZEV SHM) REM H) | 


库 x 2 
合 主 页 x | 
Q、 在 此 处 键入 内 容 进 行 .。 v 





























T 我 的 计算 机 


T 共享 的 虚拟 机 db 您 的 评估 期 将 在 30 天 后 结束 。 1. 获取 许可 证 客 铀 2. 输入 许可 证 客 钥 






WORKSTATION 12 ..— 


+  @ 


创建 新 的 虚拟 机 打开 虚拟 机 
































图 1-12 ”虚拟 机 软件 的 管理 界面 





注意 ， 在 安装 完 虚 拟 机 之 后 ， 不 能 立即 安 闭 Linux 系 统 ， 
因为 还 要 在 虚拟 机 内 设置 操作 系统 的 人 硬件 标准 。 只 有 把 虚拟 机 
内 系统 的 人 硬件 资源 模拟 出 来 后 才 可 以 正式 步 入 Linux 系 统 安 装 
之 旅 。VM 虚 拟 机 的 强大 之 处 在 于 不 仅 可 以 调 取 真实 的 物理 设 
备 资源 ， 还 可 以 模拟 出 多 网 卡 或 硬盘 等 资源 ， 因 此 完全 可 以 满 
足 大 家 对 学 习 环境 的 需求 ， 再 次 强调 ， 真 的 不 用 特意 购买 新 电 
脑 。 








在 图 1-12 中 ， 单 击 “ 创 建新 的 虚拟 机 ?选项 ， 并 在 弹出 的 “新 
建 虚拟 机 向 导 ” 界 面 中 选择 “典型 * 单 选 按 钮 ， 然 后 单 击 “下 一 
步 ” 按 钮 ， 如 图 1-13 所 示 。 


新 建 庶 拟 机 向 导 


WORKSTATION: 


一 40 | 
PX P 


帮助 | 








欢迎 使 用 新 建 虚拟 机 向 导 


您 希望 使 用 什么 类 型 的 配置 ? 


© Baz (FEST) 
通过 几 个 简单 的 步骤 创建 Workstation 12.0 
虚拟 机 。 


自 定 义 (高 级 儿 C) 

AERA SCSI 控制 器 类 型 、 虚 拟 磁盘 类 型 
以 及 与 旧版 VMware 产品 兼容 性 等 高 级 选项 
的 虚拟 机 。 





上 (8 取消 





图 1-13 ”新 建 虚 拟 机 问 导 


选中 “ 稍 后 安装 操作 系统 " 单 选 按钮 ， 然 后 单 击 “下 一 步 " 按 


如 图 1-14 所 示 。 


新 建 虚拟 机 向 导 [| 


安装 客户 机 操作 系统 
虚拟 机 如 同 物理 机 ， 需 要 操作 系统 。 您 将 如 何 安装 客户 机 操作 系统 ? 


安装 来 源 : 
安装 程序 光盘 (DJ): 


无 可 用 驱动 器 


D SERE FO GR f SC PE (iso (M): 


F:\ISO imagesYRHEL-server-7.0-x86 64-LinuxProbe.Com. 


© 稍 后 安装 操作 系统 (5)。 
创建 的 虚拟 机 将 包含 一 个 空白 硬盘 。 





图 1-14 ”选择 虚拟 机 的 安装 来 源 





在 近 几 年 的 讲 读 过 程 中 真是 遇 到 了 很 多 不 听话 的 学 生 ， 明 明 要 求 
选择 “ 稍 后 安装 操作 系统 ” 单 选 按钮 ， 结 果 非 要 选择 “安装 程序 光盘 镜像 
文件 ” 单 选 按钮 ， 并 把 下 载 好 的 RHEL 7 系统 的 镜像 选中 。 这 样 一 来 ， 
虚拟 机 会 通过 默认 的 安 闭 策略 为 您 部 普 最 精简 的 Linux 系 统 ， 而 不 会 再 
问 您 询问 安装 设置 的 选项 。 


如 果 您 是 购买 图 书目 行 学 习 的 话 ， 请 一 定 不 要 低估 后 续 实验 的 难 


度 和 Linux 知 识 体 系 的 难度 ， 更 不 要 高 估 自 己 的 自学 和 排 错 能 力 ， 耕 则 
可 能 会 因为 系统 长 期 报错 而 丧失 学 习 兴 趣 ， 得 不 偿 失 。 对 于 经 济 条 件 
允许 、 有 意愿 深入 了 解 Linux 系 统 并 考取 红 帽 RHCE 的 同学 ， 可 以 看 一 
下 刘 遂 老师 主讲 的 培训 介绍 : http:/www.linuxprobe.com/training 








在 图 1-15 中 ， 将 客户 机 操作 系统 的 类 型 选择 为 “Linux”， 版 
本 为 “Red Hat Enterprise Linux 7 64 位 ”， 然 后 单 击 “ 下 一 步 ” 按 
AH 


新 建 虚拟 机 向 导 


选择 客户 机 操作 系统 
此 虚拟 机 中 将 安装 哪 种 操作 系统 ? 


客户 机 操作 系统 


© Microsoft Windows(W) 
(9; Linux(L) 

© Novell NetWare(E) 

2 Solaris(S) 

D VMware ESX(X) 

O &ih(O) 


版 本 (V) 
Red Hat Enterprise Linux 7 64 位 v 








图 1-15 ”选择 操作 系统 的 版 本 


填写 “虚拟 机 名 称 ” 字 7 段 ， 并 在 选择 安装 位 置 之 后 单 击 “ 下 
一 步 ? 按 钮 ， 如 图 1-16 所 示 。 





将 虚拟 机 系统 的 “最 大 磁盘 大 小 ”设置 为 20.0GB (SRW TI 
可 ) ， 然 后 单 击 “下 一 步 ? 按 钮 ， 如 图 1-17 所 示 。 


单 击 “ 自 定义 硬件 ”按钮 ， 如 图 1-18 所 示 。 


新 建 庶 拟 机 向 导 mm m] 


命名 虚拟 机 
您 要 为 此 虚拟 机 使 用 什么 名 称 ? 


虚拟 机 名 称 (V): 

Linux 就 该 这 汉学 一 一 实验 环 
AlL): 

F:\VmwareWorkStation\LINUX\LinuxProbe 
在 编辑 > 首选 项 中 可 更 改 默认 位 置 。 








[sts | [ 下- 步 (N)> ] | m | 








图 1-16 ”命名 虚拟 机 及 设置 安装 路 径 


新 建 虚拟 机 向 导 [| 


指定 磁盘 容量 
磁盘 大 小 为 多 少 ? 





虚拟 机 的 硬盘 作为 一 个 或 多 个 文件 存 铺 在 主机 的 物理 磁盘 中 。 这些 文件 最 初 很 
小 ， 随 着 您 铝 虚拟 机 中 添加 应 用 程序 、 文 件 和 数据 而 逐渐 变 太 。 


BOIS A (BY): 20.0 E] 
针对 Red Hat Enterprise Linux 7 64 fiz 的 建议 太 小 : 20 GB 


O 将 虚拟 磁盘 存 情 为 单个 文件 (D) 


© 将 虚拟 磁盘 拆 分 成 多 个 文件 (M) 
WR Du BILLS AT BA Blende. (BeTRESTERA E ERR 
性 能 。 











图 1-17 虚拟 机 最 大 磁盘 大 小 


新 建 虚拟 机 向 导 


已 准备 好 创建 虚拟 机 
单 击 "完成 ”他 | 建 虚拟 机 。 然 后 可 以 安装 Red Hat Enterprise Linux 7 64 位 。 


将 使 用 下 列 设置 创建 虚拟 机 : 








Linux 就 该 这 么 学 一 一 实验 环境 
F:\VmwareWorkStation\LINUX\LinuxProbe 
版 本 : Workstation 12.0 
操作 系统 : Red Hat Enterprise Linux 7 64 位 


硬盘 : 20 GB, 拆 分 

内 存 : 2048 MB 

pode Sie: NAT 

其 他 设备 : CD/DVD, USB 控制 器 , 打印 机 , 声卡 














| EXER. | 





(stem ][ sk |][ ma j| 





图 1-18 ”虚拟 机 的 配置 界面 


在 出 现 的 图 1-19 所 示 的 界面 中 ， 建 议 将 虚拟 机 系统 内 存 的 
可 用 量 设置 为 2GB， 最 低 不 应 低 于 1GB。 如 末日 己 的 真 机 设备 
具有 很 强 的 性 能 ， 那 么 也 建议 将 内 容量 设置 为 2GB， 因 为 将 虚 
拟 机 系统 的 内 存 设置 得 太 大 没有 必要 。 





根据 您 真 机 的 性 能 设置 CPU 处 理 器 的 数量 以 及 每 个 处 理 器 
的 核心 数量 ， 并 开启 虚拟 化 功能 ， 如 图 1-20 所 示 。 


内 存 
oe 内 存 大 小 必须 为 4 MB 


on our (SAT... atin 此 虚拟 机 的 内 存 (M): 。 2048 > MB 
ZEB 

Suse 控制 器 存在 d 
DEE 自动 检测 ae 
HENN, 存在 
468 (超出 此 大 小 可 能 
ey Ps 
1G a 6336 MB 











B 建议 内 存 
2048 MB 


口 建议 的 最 小 客户 机 操作 系统 内 存 
1024 MB 








d) 虚拟 机 最 多 将 此 内 存 的 768 MB 用 作 图 形 内 存 。 您 可 以 
在 "显示 器 "设置 页 面 中 更 改 此 数量 。 
GRAN] | PRO | 








图 1-19 ”设置 虚拟 机 的 内 存量 








MESNE): 
每 个 处 理 器 的 核心 数 里 (0: (8) 


©) #1 CD/DVD (SAT... 自动 检测 


狗 网 络 适 配器 NAT 处 理 器 核心 号 数 : " 
USB 控制 器 存在 
Owe 自动 检测 aus 
ihr, 存在 首选 模式 (M): | 自动 

Sane 自动 检测 ESAE) 

虚拟 化 Intel VT-x/EPT 或 AMD-V/RVI(V) 
(v git, CPU HER aes (U) 





























图 1-20 ”设置 虚拟 机 的 处 理 器 参数 


光驱 设备 此 时 应 在 “使 用 ISO 镜像 文件 ”中 选中 了 下 载 好 的 
RHEL 系 统 镜像 文件 ， 如 图 1-21 所 示 。 


on nz 设备 状态 

MB ATE 2 GB [已 连接 {C) 

[3 处 理 器 8 T 启动 时 连接 (0) 

©) CD/DVD (SAT... 自动 检测 

Brazing NAT 连接 

rp 控制 器 存在 © 使 用 物理 驱动 器 (P): 
) 声卡 自动 检测 = 

起 打印 机 存在 | 自动 检测 

Bers 自动 检测 © 使 用 ISO 映像 文件 (M): 


FAISO images\RHEL-server-. ~ 
































图 1-21 设置 虚拟 机 的 光驱 设备 


VM 虚拟 机 软件 为 用 户 提 供 了 3 种 可 选 的 网 络 模式 ， 分 别 为 
桥接 模式 、NAT 模 式 与 仅 主机 模式 。 这 里 选择 “ 仅 主 机 模式 ”， 
如 图 1-22 所 示 。 








硬件 EN M n, 








设备 摘要 设备 状态 
mu 2 GB 已 连接 {C) 
站 处 理 器 8 [v] 启动 时 连接 (0) 
^s CD/DVD (SAT..， 正 在 使 用 文件 FAISO images\RHEL-s... 

网 络 适 配器 公主 机 模式 网 络 连接 





USB 控制 器 存在 © 桥接 模式 (B): 直接 连接 物理 网 络 
E 


自动 检测 
FTN 存在 
Bar 自动 检测 ^ NAT 模式 (N): 用 于 共享 主机 的 IP 地 址 
© 如 主机 模式 (H): 与 主机 共享 的 专用 网 络 
2 自 定义 {U): 特定 虚拟 网 络 
VMnet0 (自动 桥接 ) 
D LAN 区 段 (LU): 


复制 物理 网 络 连 接 状 态 (P) 





[LAN 区 段 (5).… | | BRV). | 




















[万 添加 (A).… | [ 移 除 (R) | 














图 1-22 设置 虚拟 机 的 网 络 适配器 





。 桥 接 模 式 : 相当 于 在 物理 主机 与 虚拟 机 网 卡 之 间架 设 了 一 
座 桥梁 ， 从 而 可 以 通过 物理 主机 的 网 卡 访问 外 网 。 

。NAT 模 式 : 让 VM 虚拟 机 的 网 络 服务 发 挥 路 由 器 的 作用 ， 
使 得 通过 虚拟 机 软件 模拟 的 主机 可 以 通过 物理 主机 访问 外 
网 ， 在 真 机 中 NAT 虚 拟 机 网 卡 对 应 的 物理 网 卡 是 VMnet8。 
。 仅 主机 模式 : 仅 让 虚拟 机 内 的 主机 与 物理 主机 通信 ， 不 能 
访问 外 网 ， 在 真 机 中 仅 主机 模式 模拟 网 卡 对 应 的 物理 网 卡 











是 VMnet1 。 


把 USB 控 制 器 、 声 卡 、 打 印 机 设备 等 不 需要 的 设备 统统 移 
除 挥 。 移 挥 声卡 后 可 以 避免 在 输入 错误 后 发 出 提示 声 首 ， 确 保 
自己 在 今后 实验 中 思绪 不 被 打扰 。 然 后 单 击 “ 关 闭 ” 按 钮 ， 如 图 
1-23 所 示 。 








ge SS a. I 








设备 摘要 3D EE 

SE NT 2 GB 着 加 速 3D 图 形 (3) 
O 处 理 器 8 

后 新 CD/DVD (SAT... 正在 使 用 文件 F:\ISO images\RHEL-s... | “监视 器 

EIS AI 公主 机 模式 © 将 主机 设置 用 于 监视 器 (U) 
天 显示 器 自动 检测 © 指定 监视 器 设置 (5): 














监视 器 数量 (N): 
1 


任意 上 监视 器 的 最 大 分 辨识 (M): 
2560 x 1600 


图 形 内 存 
图 形 内 存 可 用 的 最 大 客户 机 内 存量 (X): 


|768 MB (推荐 ) 

















y bn (A)... 移 除 (R) 














图 1-23 ”最 终 的 虚拟 机 配置 情况 
返回 到 虚拟 机 配置 同 导 界面 后 蛙 击 “完成 ”按钮 ， 如 图 1-24 





所 示 。 虚 拟 机 的 安装 和 配置 顺利 完成 。 


当 看 到 如 图 1-25 所 示 的 界面 时 ， 束 说 明 您 的 虚拟 机 已 经 被 
配置 成 功 了 。 接 下 来 准备 步 入 属于 您 的 Linux 系 统 之 旅 吧 。 


新 建 虚拟 机 向 导 (eee m] 


已 准备 好 创建 虚拟 机 
单 击 "完成 创建 虚拟 机 。 凑 后 可 以 安装 Red Hat Enterprise Linux 7 64 位 。 


将 使 用 下 列 设置 创建 虚拟 机 : 


名 称 : Linux 就 该 这 么 学 一 一 实验 环境 

位 置 : F:\VmwareWorkStation\LINUX\LinuxProbe 
版 本 : Workstation 12.0 

THER Red Hat Enterprise Linux 7 64 位 





硬盘 : 20 GB, 拆 分 

内 存 : 2048 MB 

Podés PES: RENH 

其 他 设备 : 8 个 CPU 核心 , CD/DVD 


Exe Xe E (C)... 











< 上 一 步 (B) 完成 取消 
图 1-24 ”结束 虚拟 机 配置 癌 导 














m 一 一 一 一 
(E) Linux 就 该 这 么 学 一 实验 环境 - VMware Workstation | 


X40 #80 ZEV 虚拟 机 (M) BRED BH | D ~ £ 





位 主页 ET Linux 就 该 这 么 学 一 实验 .x 


|] Linux 就 该 这 么 学 一 一 实验 环境 





be 开 启 此 志 拟 机 
RSLS 





了 设备 
AF 2GB 
Os 8 
@wascs 20 GB 


jCD/DVD (SATA) 正在 使 用 文件 F… 
TS 网 络 适配器 仅 主 机 模式 
Sans 自动 检测 











~ 虚拟 机 详细 信息 
状态 : 已 关机 
配置 文件 : F\VmwareWorkStation\LINUX\LinuxProbe\Linux 就 该 这 么 学 一 一 实验 环境 .vmx 
硬件 兼容 性 : Workstation 12.0 EEL 


S 























图 1-25 ”虚拟 机 配置 成 功 的 界面 


1.3 ”安装 您 的 Linux 系 统 


安装 RHEL 7 或 CentOS 7 系统 时 ， 您 的 电脑 的 CPU 需要 文 
持 VT (Virtualization Technology， 虚 拟 化 技术 ) 。 所 谓 VT， 
指 的 是 让 单 台 计算 机 能 够 分 割 出 多 个 独立 资源 区 ， 并 让 每 个 资 
源 区 按照 需要 模拟 出 系统 的 一 项 技术 ， 其 本 质 就 是 通过 中 间 层 
实现 计算 机 资源 的 管理 和 再 分 配 ， 让 系统 资源 的 利用 率 最 大 
化 。 其 实 只 要 您 的 电脑 不 是 五 六 年 前 买 的 ， 价 格 不 低 于 三 干 
元 ， 它 的 CPU 就 肯定 会 支持 VI 的 。 如 果 开 启 虚拟 机 后 依然 提 
示 “CPU 不 文 持 VT 技 术 ” 等 报错 信息 ， 请 重 局 电 脑 并 进入 到 
BIOS 中 把 VT 虚拟 化 功能 开局 即 可 。 
































在 虚拟 机 管理 界面 中 单 击 “ 开 局 此 虚拟 机 ?按钮 后 数秒 就 看 
到 RHEL 7 系统 安装 界面 ， 如 图 1-26 所 示 。 在 界面 中 ，Test this 
media & install Red Hat Enterprise Linux 7.0 和 Troubleshooting 的 
VERI all oe REUS GT so EE Js FAR WA J RTL HER 
Ee BE SERA 77 IH] SE Ye f Install Red Hat Enterprise Linux 7.0 选 项 
来 直接 安装 Linux 系 统 。 





Red Hat Enterprise Linux 7.8 


Install Red Hat Enterprise Linux 7.8 
Test this media & install Red Hat Enterprise Linux 7.8 


Troubleshoot ing 





图 1-26 RHEL 7 系统 安装 界面 


接 下 来 按 回 车 键 后 开始 加 载 安装 镜像 ， 所 需 时 间 大 约 在 30 
一 60 秒 ， 请 耐心 等 待 ， 如 图 1-27 所 示 。 





选择 系统 的 安装 语言 后 单 击 Continue 按 钮 ， 如 图 1-28 所 


请 读者 不 用 担心 英语 基础 的 问题 ， 因 为 Linux 系 统 中 用 的 Linux 命 


令 具 有 特定 的 功能 和 意义 ， 而 非 英 语 单词 本 上身 的 意思 。 比 如 free 的 意思 
是 “自由 ”“ 免 费 ”， 而 free 命 令 在 Linux 系 统 中 的 作用 是 查看 内 存 使 用 
量 。 因 此 即便 是 英语 水 平 很 高 ， 只 要 没有 任何 Linux 基 础 知识 ， 在 看 到 
这 些 Linux 命 令 后 也 需要 重新 学 习 。 再 者 ， 把 系统 设置 成 英文 后 还 可 以 
锻炼 一 下 有 瑞 语 阅 读 能 力 ， 不 知 不 觉 地 就 把 Linux 系 统 和 英文 一 起 学 了 ， 
SANE? Y 如 果 您 执意 选择 中 文安 装 语言 ， 也 可 以 在 图 1-28 中 进 
行 选择 。 





- Press the key to begin the installation process. 


7.251622] sd 2:0:0:0: [sda] Assuming drive cache: write through 
7.252459] sd 2:0:0:0: [sda] Assuming drive cache: write through 
7.253073] sd 2:0:0:0: [sda] Assuming drive cache: write through 
OK 1 Started Show Plymouth Boot Screen. 
OK 1 Reached target Paths. 
OK 1 Reached target Basic System. 
racut-initqueue[9031: mount: /dev/srO is urite-protected, mounting read-only 
OK Started dracut initqueue hook. 
Starting dracut pre-mount hook... 
OK Started dracut pre-mount hook. 
OK Reached target Initrd Root File System. 
Starting Reload Configuration from the Real Root... 
OK Started Reload Configuration from the Real Root. 
OK Reached target Initrd File Systems. 
Starting dracut mount hook... 
OK Started dracut mount hook. 
OK Reached target Initrd Default Target. 








图 1-27” 安 闭 癌 导 的 初始 化 界面 


RED HAT ENTERPRISE LINUX 7.0 INSTALLATION 
E3 us 


WELCOME TO RED HAT ENTERPRISE LINUX 7.0. 


What Language would you Like to use during the installation process? 


English English >| If English (United States) il 








Afrikaans Afrikaans HR Led Kingdom) 
English (Ind 
ACCT Amharic wenn] 
i English (Australia) 
ay ysl Arabic English (Canada) 
7 nglish (Canada 
SPA Assamese 
English (Denmark) 
Asturianu Asturian English (Ireland) 
Benapyckan Belarusian English (New Zealand) 
Bbnrapckn Bulgarian English (Nigeria) 
可 可 | Bengali English (Hong Kong SAR China) 


Quit Continue 





图 1-28 ”选择 系统 的 安装 语言 


在 安装 界面 中 单 击 SOFTWARE SELECTION 选 项 ， 如 图 1- 
29 所 示 。 








RHEL 7 系统 的 软件 定制 界面 可 以 根据 用 户 的 需求 来 调整 
系统 的 基本 环境 ， 例 如 把 Linux 系 统 用 作 基 础 服务 器 、 文 件 服 
务 器 、Web 服 务 器 或 工作 站 等 。 此 时 您 只 需 在 界面 中 单 击 选中 
Server with GUI 单 选 按钮 ， 然 后 单 击 堪 上 角 的 Done 按 钮 即 可 ， 
如 图 1-30 所 示 。 











| 


ZHAI TST, WEERA ENR LTEIOS KAA HH P HHR 
末尾 加 了 一 句 “ 反 正 你 们 也 不 会 去 看 *”。 其 实 这 件 事情 有 时 候 也 可 以 用 
来 调侃 部 分 读者 的 学 习 状态 ， 刘 遂 老 师 绝 不 会 把 没 用 的 知识 写 到 本 书 
中 ， 但 就 是 这 样 一 张 如 此 醒目 的 截图 也 总 是 有 同学 视而不见 ， 结 果 采 








用 了 默认 的 Minimal Install 单 选 按 钮 安装 RHEL 7 系统 ， 最 终 导 致 很 多 命 
令 不 能 执行 ， 服 务 搭 建 不 成 功 。 请 一 定 留意 ! 








INSTALLATION SUMMARY RED HAT ENTERPRISE LINUX 7.0 INSTALLATION 
E3 us 
DATE & TIME KEYBOARD 
Americas/New York timezone English (US) 
LANGUAGE SUPPORT 


English (United States) 


SOFTWARE 
INSTALLATION SOURCE SOFTWARE SELECTION 
Local media Server with GUI 
SYSTEM 
INSTALLATION DESTINATION NETWORK & HOSTNAME 
A Automatic partitioning selected Not connected 


Quit 





图 1-29 ”安装 系统 界面 


SOFTWARE SELECTION RED HAT ENTERPRISE LINUX 7.0 INSTALLATION 





Base Environment Add-Ons for Selected Environment 
Minimal Install Backup Server 
Basic functionality. Software to centralize your infrastructure's 
Infrastructure Server backups. 
Server for operating network infrastructure services. DNS Name Server 


This package group allows you to run a DNS name 


File and Print Server server (BIND) on the system. 


File, print, and storage server for enterprises. Directory Server 
Machine and user identity servers. 

Basic Web Server “| E-mail Server 

Server for serving static and dynamic internet content. Allows the system to act as a SMTP and/or IMAP e- 
mail server. 


Virtualization Host FTP Server 
Minimal virtualization host. Allows the system to act as an FTP server. 


Server with GUI 


Server for operating network infrastructure services, File and Storage Server 
with a GUI CIFS, SMB, NFS, iSCSI, iSER, and iSNS network 
storage server. 





Hardware Monitoring Utilities 
A set of tools to monitor server hardware. 


图 1-30 选择 系统 软件 类 型 


返回 到 RHEL 7 系统 安装 主 界面 ， 单 击 NETWORK & 
HOSTNAME 选 项 后 ， 将 Hostname 字 段 设 置 为 jnuxprobe.com， 
然后 单 击 左 上 角 的 Done 按 钮 ， 如 图 1-31 所 示 。 


返回 到 安装 主 界面 ， 单 击 INSTALLATION 
DESTINATION 选 项 来 选择 安装 媒介 并 设置 分 区 。 此 时 不 需要 
进行 任何 修改 ， 单 击 左 上 角 的 Done 按 钮 即 可 ， 如 图 1-32 所 示 。 








读者 可 能 会 有 这 样 的 疑问 “为 什么 我 们 不 像 其 他 Linux 图 书 那 样 ， 

讲 一 下 手动 分 区 的 方法 呢 ”? 原因 很 简单 ， 因 为 Linux 系 统 根据 

FHS (Filesystem Hierarchy Standard， 文 件 系统 层次 结构 标准 ) 把 不 同 
的 目录 定义 了 相应 的 不 同 功 能 ， 这 部 分 内 容 会 在 第 6 章 中 详细 介绍 。 并 
且 通 过 刘 遂 老师 最 近 这 几 年 的 教学 经 验 来 看 ， 即 便 现在 写 出 了 操作 步 
又 ， 读 者 们 大 多 也 只 是 点 点 女 标 ， 并 不 能 真正 理解 其 中 的 知识 ， 效 果 
不 一 定好 ， 更 何况 在 接 下 来 的 实验 中 ， 手 动 分 区 相对 于 自动 分 区 来 说 
也 没有 明显 的 好 处 。 所 以 读者 大 可 不 必 担 心 学 不 到 ， 我 们 书籍 的 规划 
课程 章节 是 非常 科学 的 。 




















NETWORK & HOSTNAME RED HAT ENTERPRISE LINUX 7.0 INSTALLATION 





Intel Corporation PRO/1000 MT Single Port Adapter 


Fal Ethernet (eno16777736) yp Ethernet (eno16777736) |  |GFF 


22275» Disconnected 


Hardware Address 00;0C: 29: 36:06:F7 


Speed 1000 Mb/s 


TE Configure... 


Hostname: | ERIT] Hl) 





图 1-31 配置 网 络 和 主机 名 








INSTALLATION DESTINATION RED HAT ENTERPRISE LINUX 7.0 INSTALLATION 


Device Selection 





Select the device(s) you'd like to install to. They will be Left untouched until you click on the main menu's 
"Begin Installation" button. 


Local Standard Disks 


20.48 GB 


VMware, VMware Virtual S 
sda / 969.23 KB free 


Disks left unselected here will not be touched. 


Specialized & Network Disks 


Add a disk... 


Disks left unselected here will not be touched. 
Other Storage Options 
Partitioning 
O Automatically configure partitioning. | will configure partitioning. 


Full disk summary and bootloader... 1 disk selected; 20.48 GB capacity; 969.23 kB free 





图 1-32 ”系统 安装 媒介 的 选择 


返回 到 安装 主 界面 ， 单 击 Begin Installation 按 钮 后 即 可 看 到 
安装 进度 ， 在 此 处 选择 ROOT PASSWORD， 如 图 1-33 所 示 。 


CONFIGURATION RED HAT ENTERPRISE LINUX 7.0 INSTALLATION 


图 US 
USER SETTINGS 
ROOT PASSWORD USER CREATION 
A Root password is not set A No user will be created 


2) Creating lvmpv on /dev/sda2 


WOULDN'T IT BE GREAT TO 


FOCUS ONLY ON DEVELOPING APPS? 


That's what Platform-as-a-Service is all about. redhat.com/openshift 


OPENSHIFT 
ENTERPRISE 





图 1-33 RHEL 7 系统 的 安装 界面 


然后 设置 root 管 理 员 的 密码 。 若 坚持 用 弱 口 令 的 密码 则 需 
要 单 击 2 次 左上 角 的 Done 按 钮 才 可 以 确认 ， 如 图 1-34 所 示 。 这 
里 需要 多 说 一 句 ， 当 您 在 虚拟 机 中 做 实验 的 时 候 ， 密 码 无 所 请 
强 弱 ， 但 在 生产 环境 中 一 定 要 让 root 管 理 员 的 密码 足够 复杂 ， 
否则 系统 将 面临 严重 的 安全 问题 。 














ROOT PASSWORD RED HAT ENTERPRISE LINUX 7.0 INSTALLATION 


Done Eau. 





The root account is used for administering the system. Enter a password for the root user. 
Root Password: eeeeee 
Weak 


Confirm: (EEEE E] 


图 1-34 设置 root 管 理 员 的 密码 


Linux 系 统 安装 过 程 一 般 在 30 一 60 分 钟 ， 在 安装 过 程 期 间 
了 硅 心 等 待 即 可 。 安 装 完成 后 单 击 Reboot 按 钮 ， 如 网 1-35 所 示 。 


CONFIGURATION RED HAT ENTERPRISE LINUX 7.0 INSTALLATION 
图 US 


Complete! 


Red Hat Enterprise Linux is now successfully installed on your system and ready for you to use! Go ahead 





and reboot to start using it! 


Reboot 





图 1-35 ”系统 安装 完成 


重启 系统 后 将 看 到 系统 的 初始 化 界面 ， 单 击 LICENSE 
INFORMATION 选 项 ， 如 图 1-36 所 示 。 


INITIAL SETUP RED HAT ENTERPRISE LINUX SERVER 7.0 (MAIPO) 
ES us 


LOCALIZATION 


LICENSE INFORMATION 
License not accepted 


USER SETTINGS 


USER CREATION 
No user will be created 


QUIT 





图 1-36 ”系统 初始 化 界面 


选中 I accept the license agreement 复 选 枉 ， 然 后 单 击 左 上 角 
的 Done 按 钮 ， 如 网 1-37 所 示 。 





LICENSE INFORMATION RED HAT ENTERPRISE LINUX SERVER 7.0 (MAIPO) 





License Agreement 


END USER LICENSE AGREEMENT RED HAT(R) ENTERPRISE LINUX(R) AND RED HAT APPLICATIONS 


This end user license agreement ("EULA") governs the use of any of the versions of Red Hat Enterprise Linux, certain other Red Hat software applications that include or 


refer to this license, and any related updates, source code, appearance, structure and organization (the "Programs"), regardless of the delivery mechanism. 


1. License Grant. Subject to the following terms, Red Hat, Inc. ("Red Hat") grants to you a perpetual, worldwide license to the Programs (most of which include multiple 
software components) pursuant to the GNU General Public License v.2. The license agreement for each software component is located in the software component's 
source code and permits you to run, copy, modify, and redistribute the software component (subject to certain obligations in some cases), both in source code and binary 
code forms, with the exception of (a) certain binary only firmware components and (b) the images identified in Section 2 below. The license rights for the binary only 
firmware components are located with the components themselves. This EULA pertains solely to the Programs and does not limit your rights under, or grant you rights 


that supersede, the license terms of any particular component 


2. Intellectual Property Rights. The Programs and each of their components are owned by Red Hat and other licensors and are protected under copyright law and under 


other laws as applicable. Title to the Programs and any component, or to any copy, modification, or merged portion shall remain with Red Hat and other licensors, 


V' I accept the license agreement. 


图 1-37 ”同意 许可 说 明 书 


返回 到 初始 化 界面 后 单 击 FINISH CONFIGURATION 选 
项 ， 即 可 看 到 Kdump 服 务 的 设置 界面 。 如 果 和 暂时 不 打算 调试 系 
统 内 核 ， 也 可 以 取消 选中 Enable kdump 复 选 杠 ， 然 后 单 击 
Forward 按 钮 ， 如 图 1-38 所 示 。 





> Kdump 


Subscription Kd u m p 


Registration 


Kdump is a kernel crash dumping mechanism. In the event of a system 
crash, kdump will capture information from your system that can be 
invaluable in determining the cause of the crash. Note that kdump does 
require reserving a portion of system memory that will be unavailable for 
other uses 


v? Enable kdump? 


Kdump Memory Reservation: © Automatic Manual 


Memory Currently Reserved (MB): 161 


Advanced kdump configuration 
# Configures where to put the kdump /proc/vmcore files 
# 
# This file contains a series of commands to perform (in order) when a 
# kernel crash has happened and the kdump kernel has been loaded. Direc 
# this file are only applicable to the kdump initramfs, and h: effect if 
# the root filesystem is mounted and the normal init scripts are processed 
# 
# Currently only one dump target and path may be configured at once 
# if the configured dump target fails, the default action will be preformed 
# the default action may be configured with the default directive below. If th 
# configured dump target succedes 
# 





# Basics commands supported are; 
# raw «partition» - Will dd /proc/vmcore into <partition> 


# Use persistent device names for partition devices, 
# such as /dev/vg/<devname>. 

# 

# nfs <nfs mount> - Will mount fs and copy /proc/vmcore to 
# <mnt>/varjcrash/%HOST-%DATE/, supports DNS 


Eorward 





图 1-38 ”禁用 Kdump 服 务 


在 如 图 1-39 所 示 的 系统 订阅 界面 中 ， 选 中 No, I prefer to 
register at a later time 单 选 按钮 ， 然 后 单 击 Finish 按 钮 。 此 处 设 
置 为 不 注册 系统 对 后 续 的 实验 操作 和 生产 工作 均 无 影响 。 


虚拟 机 软件 中 的 RHEL 7 系统 经 过 又 一 次 的 重启 后 ， 我 们 
终于 可 以 看 到 系统 的 欢迎 界面 ， 如 图 1-40 所 示 。 在 界面 中 选择 
默认 的 语言 English (United States)， 然 后 单 击 Next 按 钮 。 


Kdump 


» Subscription 
Registration 





Subscription Management Registration 


This assistant will guide you through the process of 
registering your system with Red Hat to receive software 
updates and other benefits. You will need the following to 


register: 


* A network connection 


* Your account login 
* The address of a subscription management service (optional) 


Why Should | Register? 

Would you like to register your system at 

this time? (Strongly recommended.) 
Yes, I'd like to register now. 


© No, I prefer to register at a later time. 


暂时 不 对 系统 进 


Tue 03:18 


图 1-39 


Welcome 


Deutsch (Deutschland) 

English (United Kingdom) 

English (United States) ¥ 
Espafiol (Espafia) 


frangais (France) 


pycciuü (Poccuiickas Degepaunsa) 


(was) dual 


日 本 语 


> 


= 


Xy 
` 


y 


M 


Back 


Einish 





图 1-40 ”系统 的 语言 设置 


将 系统 的 输入 来 源 类 型 选择 为 English (US)， 然 后 单 击 
Next 按 钮 ， 如 图 1-41 所 示 。 





图 1-41 设置 系统 的 输入 来 源 类 型 





为 RHEL 7 系统 创建 一 个 本 地 的 普通 用 户 ， 该 账户 的 用 户 
名 为 linuxprobe， 密 码 为 redhat， 然 后 单 击 Next 按 钮 ， 如 图 1-42 
所 示 。 


按照 图 1-43 所 示 的 设置 来 设置 系统 的 时 区 ， 然 后 单 击 Next 


按钮 。 


Create a Local Account 


Full Name 


Username 


Password 


Confirm password 


Use Enterprise Login 


linuxprobe 


linuxprobe v 


This will be used to name your home 
folder and cant be changed. 


esse Strength: Too short 


Try to useat least 8 different 
characters. Mix upper and Lower case 
and use a number or two. 


Previous 


Next 





图 1-42 ”创建 本 地 的 普通 用 户 





图 1-43 ”设置 系统 的 时 区 


在 图 1-44 所 示 的 界面 中 单 击 Start using Red Hat Enterprise 
Linux Server 按 钮 ， 出 现 如 图 1-45 所 示 的 界面 。 至 此 ，RHEL 7 
系统 完成 了 全 部 的 安装 和 部 署 工作 。 人 准备 开始 学 习 Linux 系 统 
Ws 


Thank You 


Your computer is ready to use. 


You may change these options at any time in Settings. 


sing Red Hat Enterprise Linux Server 





图 1-44 系统 初始 化 结束 界面 








Z 
f& Applications Places Sp 4) QJ Tue16:20 © linuxprobe 
GNOME Help 

Page View Go Bookmarks 
Bi Getting Started v 


€ 


Getting Started 











windows and works 





ages 


Common Tasks 


Browse the web Change the date, time and timezone Change the wallpaper 
Connect to online accounts Respond to messages Use the system search 
Use windows and workspaces Get online Switch tasks 


GNOME Help 


About 











区 GNOME Help 1/4 


图 1-45 ”系统 的 欢迎 界面 


1.4 3E root H n Sg 





平日 里 让 运 维 人 员 头 疼 的 事情 已 经 很 多 了 ， 因 此 偶尔 把 
Linux 系 统 的 黎 码 瑟 记 了 并 不 用 忆 ， 只 需 简 单 几 步 就 可 以 完成 
密码 的 重 置 工作 。 但 是 ， 如 果 您 是 第 一 次 阅读 本 书 ， 或 者 之 前 
没有 Linux 系 统 的 使 用 经 验 ， 请 一 定 先 跳 过 本 节 ， 等 学 习 完 
Linux 系 统 的 命令 后 再 来 学 习 本 节 内 容 。 如 果 您 刚刚 接手 了 一 
台 Linux 系 统 ， 要 先 确定 是 否 为 RHEL 7 系统 。 如 果 是 ， 然 后 再 
进行 下 面 的 操作 。 


[root@linuxprobe ~]# cat /etc/redhat-release 
Red Hat Enterprise Linux Server release 7.0 (Maipo) 


重启 Linux 系 统 主机 并 出 现 引 导 界 面 时 ， 按 下 键盘 上 的 e 键 
进入 内 核 编辑 界面 ， 如 图 1-46 所 示 。 

















Red Hat Enterprise Linux Server, with Linux 3.18.8-123.e17.x85 54 
Red Hat Enterprise Linux Server, with Linux B-rescue-112e8c5e855941b2974» 


Use the t and 4 keys to change the selection. 
Press 'e' to edit the selected item, or 'c' for a command prompt. 
The selected entry will be started automatically in 5s. 





图 1-46 ”Linux 系 统 的 引导 界面 


在 linux16 参 数 这 行 的 最 后 面 退 加 “rd.break” 参 数 ， 然 后 按 
下 Ctrl + X 组 合 键 来 运行 修改 过 的 内 核 程序 ， 如 图 1-47 所 示 。 


insmod xfs 
set root='hd@,msdosi’ 
if [ x$feature platform search hint = xy 1; then 
search --no-floppy --fs-uuid --set-root --hint-bios-hdB,msdos1 --hin^* 
-efi=hd@,msdosi --hint-baremetal=ahci@,msdosi --hint='hd@,msdosi’ Sfdb8c8@-@~\ 
3a-4647-87ee-b225ad6f5a54 
else 
search --no-floppy --fs-uuid --set-root 5fdb8c88-8a3a-4547-87ee-b225* 
d@f5a54 
fi 
linuxi6 “~vMlinmnuz-3.16.09-123.e1l17.x86_ bd root =UUID=839848c2-4663-4223-a7~ 
b2-eB7bfi143e52d ro rd.lum.lu-rhel^/root crashkernel-auto rd. lym. ly=rhel/swap vN 
onsole. font=latarcyrheb-suni6 vconsole.keymap=us rhgb quiet LfüNG-en US.UTF-8 N 


initrdi6 “initramfs-—3.16.6-123.e17.x66_64. img + 


Press Ctrl-x to start, Ctrl-c for a command prompt or Escape to 
discard edits and return to the menu. Pressing Tab lists 
possible completions. 





图 1-47 内核 信 息 的 编辑 界面 
大 约 30 秒 过 后 ， 进 入 到 系统 的 紧急 求援 模式 ， 如 图 1-48 所 





图 1-48 Linux 系 统 的 紧急 救援 模式 
依次 输入 以 下 命令 ， 等 竺 系统 重 局 操作 完毕 ， 然 后 就 可 以 





使 用 新 密码 linuxprobe 来 登录 Linux 系 统 了 。 命 令 行 执行 效果 如 
图 1-49 所 示 。 


2.072750] sd 70:0: [sda] Assuming drive cache: write through 
2.0743311 2 [sda] Assuming drive cache: write through 
.088169] sd 2: sda] Assuming drive che: write through 


Generating “/run/initramfs/rdsosreport .txt” 


Entering emergency mode. Exit the shell 

Type "journalctl" to view em logs. 

You might want to save “/run/initramfs/rdsosreport.txt" a USB stick 
after mounting them and attach it to a bug report. 


witch_roc mount -0 remount,ru /sysroot 
isuitch_root:7# chroot /sysroot 


ing password for user root. 
leu password: 
Retype neu passuor 
pa d: all auth ation tokens updated s fully. 
sh-4.2# touch /.autorelabel 


isuitch_root:/# reboot 





图 1-49 FR Linux KZ roots FE in BAG 


mount -o remount,rw /sysroot 
chroot /sysroot 
passwd 


touch /.autorelabel 
exit 
reboot 





15 RPM ( 红 帆 软件 包 管 理 器 ) 


在 RPM 〈 红 帽 软 件 包 管理 器 ) 公布 之 前 ， 要 想 在 Linux 系 
统 中 安装 软件 只 能 采取 源码 包 的 方式 安装 。 早 期 在 Linux 系 统 
中 安装 程序 是 一 件 非 常 困难 、 耗 费 耐 心 的 事情 ， 而 且 大 多 数 的 
服务 程序 仅仅 提供 源 代码 ， 需 要 运 维 人 员 自 行 编译 代码 并 解决 
许多 的 软件 依赖 和 关系， 因此 要 安装 好 一 个 服务 程序 ， 运 维 人 员 
需要 具备 丰富 知识 、 高 超 的 技能 ， 甚 至 良好 的 耐心 。 而 且 在 安 
装 、 升 级 、 缀 载 服务 程 序 时 还 要 考虑 到 其 他 程序 、 库 的 依赖 关 
系 ， 所 以 在 进行 校 验 、 安 装 、 伸 载 、 查 询 、 升 级 等 管理 软件 操 
作 时 难度 都 非常 大 。 
































RPM 机 制 则 为 解决 这 些 问 题 而 设计 的 。RPM 有 点 像 
Windows 系 统 中 的 控制 面板 ， 会 建立 统一 的 数据 库 文 件 ， 详 细 
记录 软件 信息 并 能 够 自动 分 析 依 赖 关 系 。 目 前 RPM 的 优势 已 经 
被 公众 所 认可 ， 使 用 范围 也 已 不 局 限 在 红 帆 系统 中 了 。 表 1-1 
古 一 些 第 用 的 RPM 软 件 包 命令 ， 当 前 不 需要 记 住 它们 ， 大 致 混 
ANH A ES T o 


X13 第 用 的 RPM 软件 包 命 令 

















升级 软件 的 命 aig A E rpm -Uvh filename.rpm 


EN aa FE 的 命 ADS 令 格 式 -e filename.rpm 





查询 软件 描述 言 息 的 命 Hp A E -qpi filename.rpm 


列 出 软件 文件 信息 的 命令 格式 -qpl filename.rpm 





查询 文件 属于 哪个 RPM 的 命令 格式 -af filename 





1.6 Yum 软 件 仓 库 


尽管 RPM 能 够 帮助 用 户 碍 询 软件 相关 的 依赖 关系 ， 但 问题 
还 是 要 运 维 人 员 目 己 来 解决 ， 而 有 些 大 型 软件 可 能 与 数 十 个 程 
序 都 有 依赖 和 关系， 在 这 种 情况 下 安装 软件 会 是 非常 痛 兰 的 。 
Yum 软 件 仓库 便 是 为 了 进一步 降低 软件 安 逆 难度 和 复杂 上 度 而 设 
计 的 技术 。Yum 软 件 仓库 可 以 根据 用 户 的 要 求 分 析出 所 需 软 件 
包 及 其 相关 的 依赖 和 关系， 然后 目 动 从 服务 器 下 载 软件 包 并 安装 
到 系统 。Yum 软 件 仓 库 的 技术 拓扑 如 图 1-50 所 示 。 




















Yum 软 件 仓 库 中 的 RPM 软件 包 可 以 是 由 红 帽 官方 发 布 的 ， 
也 可 以 是 第 三 方 发 布 的 ， 当 然 也 可 以 是 目 己 编写 的 。《Linux 
就 该 这 么 学 》 随 书 提供 的 镜像 光盘 内 已 经 包含 了 大 量 可 用 的 
RPM 红 帽 软 件 包 ， 后 文中 详细 讲解 这 些 软件 包 。 表 1-2 所 示 为 
一 些 癌 见 的 Yum 命 令 ， 当 前 只 需 对 它们 有 一 个 简单 印象 即 可 。 























图 1-50 ”Yum 软 件 仓库 的 技术 拓扑 图 


表 1-2 常见 的 Yum 命 令 


命令 作用 


yum info 软 件 包 名 称 查看 软件 包 言 息 


yum install 软 件 包 名 称 安装 软件 包 


yum reinstall 软 件 包 名 称 重新 安装 软件 包 
yum update 软 件 包 名 称 升级 软件 包 


yum remove 软 件 包 


yum check-update 检查 可 更 新 的 软件 包 





yum grouplist 查看 系统 中 已 经 安装 的 软件 包 组 


yum groupinstall 软 件 包 组 安装 指定 的 软件 包 组 


yum groupremove 软 件 包 组 移 除 指定 的 软件 包 组 


yum groupinfo 软 件 包 组 查询 指定 的 软件 包 组 信息 





1.7 systemd 9] 45 4 XE f 


Linux 操 作 系 统 的 开机 过 程 是 这 样 的 ， 即 从 BIOS 开 始 ， 然 
后 进入 Boot Loader， 再 加 载 系统 内 核 ， 然 后 内 核 进 行 初始 化 ， 
最 后 启动 初始 化 进程 。 初 始 化 进程 作为 Linux 系 统 的 第 一 个 进 
程 ， 它 需要 完成 Linux 系 统 中 相关 的 初始 化 工作 ， 为 用 户 提供 
合适 的 工作 环境 。 红 帽 RHEL 7 系统 已 经 蔡 换 掉 了 熟悉 的 初始 
化 进程 服务 System V init， 正 式 采 用 全 新 的 systemd 初 始 化 进程 
服务 。 如 果 您 之 前 学 习 的 是 RHEL 5 或 RHEL 6 系统 ， 可 能 会 不 
习惯 。systemd 初 始 化 进程 服务 采用 了 并 发 局 动机 制 ， 开 机 速 
度 得 到 了 不 小 的 提升 。 虽 然 systemd 初 始 化 进程 服务 具有 很 多 
新 特性 和 优势 ， 但 目前 还 是 下 面 4 个 槽 点 。 











。 模 点 1: systemd 初 始 化 进程 服务 的 开发 人 员 Lennart 
Poettering 就 职 于 红 帆 公司， 这 让 其 他 系统 的 粉丝 很 不 来 。 

。 权 点 2: Systemd 初 始 化 进程 服务 仅仅 可 在 Linux 系 统 下 运 
行 , “抛弃 "了 UNIX 系 统 用 户 。 

。 模 点 3: systemd 接 管 了 诸如 syslogd、udev、cgroup 等 服务 
的 工作 ， 不 再 甘心 只 做 初始 化 进程 服务 。 

。 模 点 4: 使 用 systemd 初 始 化 进程 服务 后 ，RHEL 7 系统 变化 
太 大 ， 而 相关 的 参考 文档 不 多 ， 令 用 户 着 实 为 难 。 











无 论 怎样 ，RHEL 7 系统 选择 systemd 初 始 化 进程 服务 已 经 
是 一 个 既定 事实 ， 因 此 也 没有 了 "运行 级 别 ” 这 个 概念 ，Linux 
系统 在 启动 时 要 进行 大 量 的 初始 化 工作 ， 比 如 挂 载 文件 系统 和 
交换 分 区 、 局 动 各 类 进程 服务 等 ， 这 些 都 可 以 看 作 是 一 个 一 个 
的 单元 〈Unit) ，systemd 用 目标 〈target) 代替 了 System V init 
中 运行 级 别 的 概念 ， 这 两 者 的 区 别 如 表 1-3 所 示 。 








表 1-3 ”systemd 与 System V init 的 区 别 以 及 作用 


System V init 运 行 级 " 
systemd H fi 44 fj 


runlevel@.target, 


poweroff.target 


Ce Adi 


runlevel2.target, multi- p" 
等 同 于 级 别 3 


user. target 


runlevel3.target, multi- 多 用 户 的 文本 界 


user.target 面 





runlevel4.target, multi- 


4 user. target 等 同 于 级 别 3 


runlevel5.target, 多 用 户 的 图 形 界 
D 
graphical.target 


runlevel6.target, reboot.target 
ds Bem 


如 果 想 要 将 系统 默认 的 运行 目标 修改 为 “多 用 户 ， 无 图 
”模式 ， 可 直接 用 ln 命令 把 多 用 户 模 式 目 标 文件 连接 
fill/etc/systemd/system/ H 3&: 











[root@linuxprobe ~]# ln -sf /lib/systemd/system/multi- 


user.target /etc/systemd/ 
system/default.target 








如 果 有 读者 之 前 学 习 过 RHEL 6 系统 ， 或 者 已 经 习惯 使 用 
ServVice、chkconfig 等 命令 来 管理 系统 服务 ， 那 么 现在 就 比较 邦 
头 了 ， 因 为 在 RHEL 7 系统 中 是 使 用 systemctl 命 令 来 管理 服务 
的 。 表 1-4 和 表 1-5 所 示 RHEL 6 系统 中 System V init 命 令 与 
RHEL 7 系统 中 systemctl 命 令 的 对 比 ， 您 可 以 先 大 致 了 解 一 
下 ， 后 续 章 节 中 会 经 常用 到 它们 。 








表 1-4 — systemctl t HIRAM. HUA. elk, ER A 


System V init 命 令 systemctl 命 令 
作用 
CRHEL 6 系统 ) CRHEL 7 系统 ) 
systemctl start 
service foo start 启动 服务 
foo.service 
systemctl restart 
service foo restart 重启 服务 
foo.service 





systemctl stop 
service foo stop 停止 服务 
foo.service 


systemctl reload 重新 加 载 配置 文件 〈 不 


foo.service 


service foo reload 


systemctl status 
service foo status 
foo.service 





表 1-5 systemctl 设 置 服务 开机 启动 、 不 启动 、 查 看 各 级 
别 下 服务 局 动 状态 等 常用 命令 


| 


System V init 命 令 


(RHEL 6 系统 ) 


chkconfig foo on 


chkconfig foo off 


chkconfig foo 


chkconfig --list 


systemctl 命 令 
CRHEL 7 系统 ) 


systemctl enable 


foo.service 


systemctl disable 


foo.service 


systemctl is-enabled 


foo.service 


systemctl list-unit- 


files --type=service 


作用 


开机 自动 启动 


开机 不 自动 启动 


查看 特定 服务 是 否 为 开 
机 自动 局 动 


查看 各 个 级 别 下 服务 的 
局 动 与 禁用 情况 





F A 


1. 为 什么 建议 读者 校 验 下 载 的 系统 镜像 或 工具 ? 





A 为 了 保证 软件 包 的 安全 与 完整 性 。 


2. 使 用 虚拟 机 安 厂 Linux 系统 时 ， 为 什么 要 先 选 择 稍 后 安 
装 操作 系统 ， 而 不 是 去 选择 RHEL 7 系统 镜像 光盘 ? 


^. 在 配置 界面 中 知 直 接 选 择 了 RHEL 7 系统 镜像 ， 则 
VMware Workstation 虚 拟 机 会 使 用 内 置 的 安装 癌 导 上 自动 进行 安 
装 ， 最 终 安 装 出 来 的 系统 跟 我 们 后 续 进 行 实验 所 需 的 系统 环境 
会 不 一 样 。 














3. RPM ( 红 帽 软 件 包 管理 器 ) 只 有 红 帽 企业 系统 在 使 
用 ， 对 吗 ? 


Z: RPM 已 经 被 CentOS、Fedora、openSUSE 等 众多 Linux 
系统 采用 ， 它 真 的 很 好 用 ! 





4. 简 述 RPM 与 Yum 软 件 仓 库 的 作用 。 





答 : RPM 是 为 了 简化 安装 的 复杂 度 ， 而 Yum 软 件 仓 库 是 为 
了 解决 软件 包 之 间 的 依赖 关系。 





5. RHEL 7 系统 采用 了 systemd 作 为 初始 化 进程 ， 那 么 如 何 
查看 某 个 服务 的 运行 状态 ? 








答 : 执行 命令 “systemctl status 服务 名 .service” 可 查看 服务 
的 运行 状态 ， 其 中 服务 名 后 的 .service 可 以 省 略 。 
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强大 好 用 的 Shell; 
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。 执行 帮助 文档 


常用 系统 工作 命令 ; 


系统 状态 检测 命令 ; 


工作 目录 切换 命令 ; 


文本 文件 编辑 命令 ; 


文件 目录 管理 命令 ; 


打包 压缩 与 搜索 命令 









本 章 首 先 介绍 系统 内 核 和 Shell 终 端的 关系 与 作用 ， 然 后 介 
绍 Bash 解 释 器 的 4 大 优势 并 学 习 Linux 命 令 的 执行 方法 。 经 验 丰 





让 的 运 维 人 员 可 以 通过 合理 地 组 合适 当 的 命令 与 参数 ， 来 更 精 
准 地 满足 工作 需求 ， 迅 速 得 到 自己 想 要 的 结果 ， 还 可 以 尽 可 能 
地 降低 系统 资源 消耗 。 














本 书 精 挑 细 选 出 读者 有 必要 首先 学 习 的 数 十 个 Linux 命 
令 ， 它 们 与 系统 工作 、 系 统 状态 、 工 作 目录 、 文 件 、 目 录 、 打 
包 压 缩 与 搜索 等 主题 相关 。 通 过 把 上 述 命令 归纳 到 本 章 中 的 各 
个 小 节 ， 让 您 可 以 分 门 别 类 地 逐个 学 习 这 些 最 基础 的 Linux 命 
令 ， 为 今后 学 习 更 复杂 的 命令 和 服务 做 好 必 备 知识 铺垫 。 





2.4. 强大 好 用 的 Shell 


通 利 来 讲 ， 计 算 机 硬件 是 由 运算 器、 控制 器 、 人 存储器 、 输 
入 /输出 设备 等 共同 组 成 的 ， 而 让 各 种 硬件 设备 各 司 其 职 且 又 
能 协同 运行 的 东西 就 是 系统 内 核 。Linux 系 统 的 内 核 负 责 完 太 
对 硬件 资源 的 分 配 、 调 度 等 管理 任务 。 由 此 可 见 ， 系 统 内 核对 
计算 机 的 正常 运行 来 讲 是 太 重 要 了 ， 因 此 一 般 不 建议 直接 去 编 
辑 内 核 中 的 参数 ， 而 是 让 用 户 通 过 基于 系统 调用 接口 开发 出 的 
程序 或 服务 来 管理 计算 机 ， 以 满足 日 党 工作 的 需要 ， 如 图 2-1 
所 示 。 








必须 肯定 的 是 ，Linux 系 统 中 有 些 图 形 化 工具 (比如 逻辑 
卷 管理 器 [Logical Volume Manager, LVM]) 确实 非常 好 用 ， 
极 大 地 降低 了 运 维 人 员 操 作出 错 的 概率 ， 值 得 称赞 。 但 是 ， 很 
多 图 形 化 工具 其 实 是 调用 了 脚本 来 完成 相应 的 工作 ， 往 往 只 是 
为 了 完成 某 种 工作 而 设计 的 ， 缺 乏 Linux 命 令 原 有 的 灵活 性 及 
可 探 性 。 再 者 ， 图 形 化 工具 相 较 于 Linux 命 令 行 界面 会 更 加 消 
耗 系统 资源 ， 因 此 经 验 丰 定 的 运 维 人 员 甚至 都 不 会 给 Linux 系 
统 安装 图 形 界面 ， 需 要 开始 运 维 工 作 时 直接 通过 命令 行 模式 远 
程 连接 过 去 ， 不 得 不 说 这 样 做 确实 挺 高 效 的 。 



































程序 或 服务 


系统 调用 接口 
内 核 


硬件 


HP 


图 2-1 用 户 与 Linux 系 统 的 交互 





Shell 就 是 这 样 的 一 个 命令 行 工具 。Shell〈 也 称 为 终端 或 
56) 充当 的 是 人 与 内 核 〈 硬 件 ) 之 间 的 翻译 官 ， 用 户 把 一 些 命 
令 “ 告 诉 ” 终 端 ， 它 就 会 调用 相应 的 程序 服务 去 完成 菜 些 工作 。 
现在 包括 红 帽 系统 在 内 的 许多 主流 Linux 系 统 默认 使 用 的 终端 
是 Bash (Bourne-Again SHell) 解释 器 。 主 流 Linux 系 统 选择 
Bash 解 释 器 作为 命令 行 终 问 主 要 有 以 下 4 项 优势 ， 读 者 可 以 在 
今后 的 学 习 和 生产 工作 中 细 细 体会 Linux 系 统 命 令 行 的 美妙 之 
Xb, ROUEN RAE FE. 














。 通 过 上 下 方 同 键 来 调 取 过 往 执 行 过 的 Linux 命 令 ; 
命令 或 参数 仅 需 输入 前 几 位 束 可 以 用 Tab 键 补 全 ; 
具有 强大 的 批 处 理 脚 本 ; 


H 


e 具有 实用 的 环境 变量 功能 。 


2.2 执行 查看 帮助 命令 


既然 Linux 系 统 中 已 经 有 了 Bash 这 么 好 用 的 “翻译 官 ”， 那 
么 接 下 来 束 有 必要 好 好 学 习 下 怎么 跟 它 沟通 了 。 要 想 准 确 、 局 
效 地 完成 各 种 任务 ， 仪 依赖 于 命令 本 里 是 不 够 的 ， 还 应 该 根据 
实际 情况 来 灵活 调整 各 种 命令 的 参数 。 比 如 ,我 们 切 寿 司 时 尽 
党 可 以 用 菜刀 ， 但 米粒 一 定 会 撤 得 满 地 都 是 ， 因 此 寿司 刀 上 设 
计 的 用 于 透气 的 圆 孔 就 是 为 了 更 好 地 适应 场景 而 额外 增加 的 参 
数 。 当 您 学 完 本 书 并 具备 一 定 的 工作 经 验 之 后 ， 一 定 能 够 领悟 












































Linux 命 令 的 奥秘 。 常 见 执行 Linux 命 令 的 格式 是 这 样 的 : 








命令 对 象 一 般 是 指 要 处 理 的 文件 、 目 录 、 用 户 等 资源 ， 而 
命令 参数 可 以 用 长 格式 《完整 的 选项 名 称 ) ， 也 可 以 用 短 格式 
单个 字母 的 缩写 ) ， 两 者 分 别 用 -- 与 -作为 前 经 (示例 请 见 表 
2-1) 。Linux 新 手 不 会 执行 命令 大 多 是 因为 参数 比较 复杂 ， 参 
数值 需要 随 不 同 的 命令 和 需求 情况 而 发 生 改 变 。 因 此 ， 要 想 赤 
活 搭配 各 种 参数 ， 执 行 目 己 想 要 的 功能 ， 则 需要 长 时 间 的 经 验 
RR S o 








表 2-1 命令 参数 的 长 格式 与 短 格式 示例 








有 读者 现在 可 能 会 想 : “Linux 系 统 中 有 那么 多 命令 ， 我 怎 
么 知道 某 个 命令 是 干 嘛 用 的 ? 在 日 凋 工 作 中 遇 到 了 一 个 不 熟悉 
的 Linux 命 令 ， 我 又 怎样 才能 知道 它 有 哪些 可 用 参数 呢 ? "BER 
来 ， 我 们 就 拿 man 这 个 命令 作为 本 书 中 第 一 个 教 给 读者 去 学 习 
的 Linux 命 令 了 。 对 于 真正 的 零 基 础 读者 ， 您 可 以 通过 图 2-2、 
图 2-3 和 图 2-4 来 学 习 如 何在 RHEL 7 系统 中 执行 Linux 命 令 。 














在 RHEL 7 系统 的 蜗 面 上 单 击 鼠标 右键 ， 在 弹出 的 菜单 中 
选择 Open in Terminal 命 令 ， 这 将 打开 一 个 Linux 系 统 命令 行 终 
端 ， 如 图 2-2 所 示 。 


Change Desktop Background 





2-2 ”在 Linux 系 统 上 打开 命令 行 终端 


在 命令 行 终 端 中 输入 man man 命 令 来 查看 man 命 令 自身 的 
帮助 信息 ， 如 图 2-3 所 示 。 


四 Applications Places lit o - — 4) R Fdiss8 四 root 





root@localhost:~/Desktop 


File Edit View Search Terminal Help 
[root@localhost Desktop]# man man 


图 2-3 ”查看 man 命 令 的 帮助 信息 
敲 击 回 车 键 后 即 可 看 到 如 图 2-4 所 示 的 帮助 信息 。 


f^ Applications Places rminal +) R Wed14:49 € root 


root@linuxprobe:~/Desktop 


File Edit View Search Terminal Help 
Manual pager utils MAN(1) 


[-C file] [-d] [-D] [--warnings[-warnings]] [-R encoding] [-L 
locale] [-m system[,...]] [-M path] [-S list] [-e extension] [-i|-I] 
[--regex| - -wildcard] [--names-only] [-a] [-u] [--no-subpages] [-P 
pager] [-r prompt] [-7] [-E encoding] [--no-hyphenation] [--no-justifi- 
cation] [-p string] [-t] [-T[device]] [-H[browser]] [-X[dpi]] [-2] 
[[section] page ...] . 
man -k [apropos options] regexp ... 
man -K [-w|-W] [-S list] [-i|-I] [--regex] [section] term ... 
man -f [whatis options] page ... 
man -l [-C file] [-d] [-D] [--warnings[-warnings]] [-R encoding] [-L 
locale] [-P pager] [-r prompt] [-7] [-E encoding] [-p string] [-t] 
[-T[device]] [-H[browser]] [-X[dpi]] [-Z] file . 
man -w|-W [-C file] [-d] [-D] page ... 
man -c [-C file] [-d] [-D] page ... 
man [-?V] 











2-4 man MA EJ fei s 


在 man 命 令 帮助 信息 的 界面 中 ， 所 包含 的 常用 操作 按键 及 
其 用 途 如 表 2-2 所 示 。 


表 2-2 man 命 令 中 常用 按键 以 及 用 途 


按键 


空格 键 回 下 翻 一 页 





PaGe up 向 上 翻 一 页 





从 上 至 下 搜索 某 个 关键 词 ， 如 %wlinux” 
从 下 至 上 搜索 茶 个 关键 词 ， 如 “3?linux” 


定位 到 下 一 个 搜索 到 的 关键 词 


n 定位 到 上 一 个 搜索 到 的 关键 词 
mE 退出 帮助 文档 


一 般 来 讲 ， 使 用 man 命 令 查 看 到 的 帮助 内 容 信息 都 会 很 长 
很 多 ， 如 果 读 者 不 了 解 帮助 文档 信息 的 目录 结构 和 操作 方法 ， 
乍 一 看 到 这 么 多 信息 可 能 会 感到 相当 困惑 。man 命 令 的 帮助 信 
息 的 结构 如 表 2-3 所 示 。 


表 2 3 man 命 令 帮 助 信 息 的 结构 以 及 意义 














结构 名 称 


参数 的 大 致使 用 方法 
演示 《附带 简单 说 明 ) 


默认 的 功能 
具体 的 可 用 选项 ( 带 介绍 ) 
用 到 的 文件 
相关 的 资料 





HISTORY 维护 历史 与 联系 方式 








2.3 常用 系统 工作 命令 


您 现在 阅读 的 这 本 书 是 刘 租 老师 在 经 历 了 十 多 年 的 运 维 学 
习 以 及 数 十 期 的 培训 授课 后 总 结 而 成 的 ， 您 可 能 无 法 在 本 节 中 
找到 某 些 之 前 见 过 的 命令 。 但 不 用 担心 ， 之 所 以 这 样 安排 ， 原 
因 是 刘 冰 老师 努力 地 将 Linux 命 令 与 实战 相 结合 ， 真 正 让 读者 
在 实 操 中 理解 技术 ， 而 不 是 单纯 地 把 命令 堆砌 到 书 中 让 读者 去 
使 育 。 








刘 遂 老师 用 了 近 一 年 的 时 间 把 最 常用 的 Linux 命 令 进行 汇 
忆 、 归 纳 、 整 理 、 分 类 后 ， 把 这 些 和 常用 的 命令 合理 安排 到 了 后 
续 音 节 中 ， 然 后 采用 以 练 代 学 的 方式 来 加 深 读者 的 理解 和 和 党 
握 。 从 数 年 的 培训 成 来 反馈 来 看 ， 这 种 方式 相当 有 效 ， 因 此 也 


相信 这 种 方式 肯定 适合 您 的 学 习 。 














1. echo 命 令 








echo 命 令 用 于 在 终端 输出 字符 串 或 变量 提取 后 的 值 ， 格 式 
为 “echo [字符 串 | SEEP. 


例如 ， 把 指定 字符 串 “Linuxprobe.com” 输 出 到 终端 屏 磊 的 


TON: 


[root@linuxprobe ~]# echo Linuxprobe.Com 


=> 








Linuxprobe.Com 


下 面 ， 我 们 使 用 $ 变 量 的 方式 提取 变量 SHELL 的 值 ， 并 将 
其 输出 到 屏幕 上 : 


[root@linuxprobe ~]# echo $SHELL 
/bin/bash 


2. dater 








date 命 令 用 于 显示 及 设置 系统 的 时 间或 日 期 ， 格 式 为 “date 
[选项 ] [+ 指定 的 格式 ]”。 


只 需 在 强大 的 date 命 令 中 输入 以 “+? 号 开头 的 参数 ， 即 可 按 
照 指 定格 式 来 输出 系统 的 时 间或 日 期 ， 这 样 在 日 党 工作 时 便 可 
以 把 备份 数据 的 命令 与 指定 格式 输出 的 时 间 信 息 结 合 到 一 起 。 
例如 ， 把 打包 后 的 文件 自动 按照 “年 -月 -日 ”的 格式 打包 
成 “backup-2017-9-1.tar.gz”， 用 户 只 需要 看 一 眼 文 件 名 称 束 能 
大 概 了 解 到 每 个 文件 的 备份 时 间 了 。date 命 令 中 和 常见 的 参数 格 
式 及 作用 如 表 2-4 所 示 。 


X2-A 。 ”date 命令 中 的 参数 以 及 作用 























参数 作用 


跳 格 [Tab 键 ] 


fb (00—59) 


今年 中 的 第 几 天 








按照 默认 格式 碍 看 当前 系统 时 间 的 date 命 令 如 下 所 示 : 


[root@linuxprobe ~]# date 
Mon Aug 24 16:11:23 CST 2017 
按照 “年 -月 -日 小 时 :分 钟 : 秒 ” 的 格式 全 看 当前 系统 时 间 的 
date 命 令 如 下 所 示 : 


[root@linuxprobe ~]# date "+%Y-%m-%d %H:%M:%S" 


2017-08-24 16:29:12 





将 系统 的 当前 时 间 设 置 为 2017 年 9 月 1 日 8 点 30 分 的 date 命 令 
如 下 所 示 : 


[root@linuxprobe ~]# date -s "20170901 8:30:00" 


Fri Sep 1 08:30:00 CST 2017 








再 次 使 用 date 命 令 并 按照 默认 的 格式 查看 当前 的 系统 时 
间 ， 如 下 所 示 : 


[root@linuxprobe ~]# date 
Fri Sep 1 08:30:01 CST 2017 








date 命 令 中 的 参数 %j 可 用 来 得 看 今天 是 当年 中 的 第 几 天 。 
这 个 参数 能 够 很 好 地 区 分 备份 时 间 的 新 有明， 即 数字 越 大 ， 越 靠 
近 当 前 时 间 。 访 参数 的 使 用 方式 以 及 显示 结果 如 下 所 示 。 





[root@linuxprobe ~]# date "+%j" 
244 


3. reboot 命 今 


reboot 命 令 用 于 重启 系统 ， 其 格式 为 reboot。 





由 于 重 局 计算 机 这 种 操作 会 涉及 人 硬件 资源 的 管理 权限 ， 
此 默认 只 能 使 用 root 管 理 员 来 重启 ， 其 命令 如 下 : 


[root@linuxprobe ~]# reboot 








4. powerofffi > 





poweroff 命 令 用 于 关闭 系统 ， 其 格式 为 poweroff。 


该 命令 与 reboot 命 令 相 同 ， 都 会 涉及 人 硬件 资源 的 管理 权 
限 ， 因 此 默认 只 有 root 管 理 员 才 可 以 关闭 电脑 ， 其 命令 如 下 : 


[root@linuxprobe ~]# poweroff 


5. Wget 合 令 





wget 命 令 用 于 在 终端 中 下 载 网络 文 件 ， 格 式 为 “wget [ 参 
数 ] 下 载 地 址 ”。 


如 果 您 没有 Linux 系 统 的 管理 经 验 ， 当 前 只 需 了 解 一 下 
wget 命 令 的 参数 以 及 作用 ， 然 后 看 一 下 下 面 的 演示 实验 即 可 ， 
切记 不 要 急于 求 成 。 后 面 章节 将 逐步 讲解 Linux 系 统 的 配置 管 
理 方法 ， 可 以 等 您 掌握 了 网 卡 的 配置 方法 后 再 来 进行 这 个 实验 
操作 。 表 2-5 所 示 为 wget 命 令 的 参数 以 及 参数 的 作用 。 











表 2-5 wget 命令 的 参数 以 及 作用 


参数 作用 





=P Fake ta xe Ho 


最 大 尝试 次 数 


断 点 续 传 


下 载 页 面 内 所 有 资源 ， 包 括 图 片 、 视 频 等 


递归 下 载 





尝试 使 用 wget 命 令 从 本 书 的 配套 站 点 中 下 载 本 书 的 最 新 
pdf 格 式 电 子 文档 ， 这 个 文件 的 完整 路 径 为 
http://www.linuxprobe.com/docs/LinuxProbe.pdf ， 执 行 该 命令 后 


的 下 载 效果 如 下 : 








[root@linuxprobe ~]# wget http://www.linuxprobe.com/doc 
s/LinuxProbe. pdf 

--2017-08-24 19:30:12 -- http://www. linuxprobe.com/docs 
/LinuxProbe. pdf 

Resolving www.linuxprobe.com (www.linuxprobe.com)... 22 
0.181.105.185 

Connecting to www.linuxprobe.com (www. linuxprobe.com) |2 
20.181.105.185|:80... 

connected. 

HTTP request sent, awaiting response... 200 OK 

Length: 45948568 (44M) [application/pdf] 


Saving to: 'LinuxProbe.pdf? 


48,568 32.9MB/s in 1.3s 


2017-08-24 19:30:14 (32.9 MB/s) - ‘LinuxProbe.pdf’ save 
d [45948568/45948568] 





接 下 来 ， 我 们 使 用 wget 命 令 递归 下 载 www.linuxprobe.com 
网 站 内 的 所 有 页 面 数据 以 及 文件 ， 下 载 完 后 会 自动 保存 到 当前 
路 径 下 一 个 名 为 www.linuxprobe.com 的 目录 中 。 执 行 该 操作 的 
命令 为 wget -r -p http://www.linuxprobe.com ， 该 命令 的 执行 结 


RUF. 





[root@linuxprobe ~]# wget -r -p http://www.linuxprobe.c 
om 

--2017-08-24 19:31:41-- http://www.linuxprobe.com/ 
Resolving www.linuxprobe.com... 106.185.25.197 
Connecting to www.linuxprobe.com|106.185.25.197]|:80... 


connected. 

HTTP request sent, awaiting response... 200 OK 
Length: unspecified [text/html] 

Saving to: 'www.linuxprobe.com/index.html' 





6. ps 命令 


ps 命令 用 于 奏 看 系统 中 的 进程 状态 ， 格 式 为 ps [参数 ]”。 





估计 读者 在 第 一 次 执行 这 个 命令 时 部 要 慰 直 一 下 一 一 怎么 











会 有 这 么 多 输出 值 ， 这 可 怎么 看 得 过 来 ”其实 ， 刘 毅 老 师 通 名 
会 将 ps 命令 与 第 3 和 章 的 管道 符 技 术 搭 配 使 用 ， 用 来 抓 取 与 某 个 
指定 服务 进程 相对 应 的 PID 号 码 。ps 命 令 的 常见 参数 以 及 作用 
如 表 2-6 所 示 。 


表 2-6 ”ps 命令 的 参数 以 及 作用 











作用 


显示 所 有 进程 (包括 其 他 用 户 的 进程 ) 


用 户 以 及 其 他 详细 信息 


显示 没有 控制 终端 的 进程 








Linux 系 统 中 时 刻 运 行 着 许多 进程 ， 如 采 能 够 合理 地 管理 
它们 ， 则 可 以 优化 系统 的 性 能 。 在 Linux 系 统 中 ， 有 5 种 常见 的 
进程 状态 ， 分 别 为 运行 、 中 断 、 不 可 中 断 、 僵 死 与 停止 ， 其 各 
目 含义 如 下 所 示 。 








。 及 《运行 ) : 进程 正在 运行 或 在 运行 队列 中 等 符 。 
。S《〈 中 断 ) : 进程 处 于 休眠 中 ， 当 茶 个 条 件 形 成 后 或 者 接 
收 到 信号 时 ， 则 脱离 该 ”状态 。 








e 了 D《〈 不 可 中 断 ) : 进程 不 啊 应 系统 异步 信号 ， 即 便 用 kil 命 
令 也 不 能 将 其 中 断 。 

e Z E26) : 进程 已 经 终止 ， 但 进程 描述 符 依 然 存 在 , 直到 
父 进程 调用 wait40 系 统 函 数 后 将 进程 释放 。 

e T FIE) : 进程 收 到 停止 信号 后 停止 运行 。 

















当 执 行 ps aux 命 令 后 通常 会 看 到 如 表 2-7 所 示 的 进程 状态 ， 
表 2-7 中 只 是 列举 了 部 分 输出 值 ， 而 且 正 常 的 输出 值 中 不 包括 
中 文 注释 。 


进程 的 所 有 者 





root 0.0 0.0 ? 07:22 0: 





如 前 面 所 提 到 的 ， 在 Linux 系 统 中 的 命令 参数 有 长 短 格式 之 分 ， 长 
格式 和 长 格式 之 间 不 能 合并 ， 长 格式 和 短 格式 之 间 也 不 能 合并 ， 但 短 
格式 和 短 格式 之 间 是 可 以 合并 的 ， 合 并 后 仅 保留 一 个 -( 减 写 ) 即 可 。 
另外 ps 命令 可 允许 参数 不 加 减 号 〈-) ， 因 此 可 直接 写成 ps aux 的 样 
子 。 








7. top 命 令 


top 命 令 用 于 动态 地 监视 进程 活动 与 系统 负载 等 信息 ， 其 
格式 为 top。 


toptip 命令 相当 强大 ， 能 够 动态 地 查看 系统 运 维 状 态 ， 完全 
将 它 看 作 Linux 中 的 “强化 版 的 Windows 任 务 管 理 器 *。top 命 令 
的 运行 界面 如 图 2-5 所 示 。 








root@linuxprobe:~/Desktop - | 口 
File Edit View Search Terminal Help 


top - 19:19:51 up 11 min, 2 users, load average: 0.01, 0.17, 0.19 
Tasks: 519 total, 2 running, 517 sleeping, 0 stopped, 0 zombie 
%Cpu(s): Ml us; 90.6 sy, 0.0 ni, 97.1 id, 1l.1wa, 0.0 hi, 0.0 si, 06.0 st 





KiB Mem: 3869044 total, 900604 used, 2968440 free, 924 buffers 
KiB Swap: 2097148 total, 0 used, 2097148 free. 278556 cached Mem 
VIR | (S %CPU «MEM TIME+ COMMAND 
3331 root 20 Q 1755192 234352 37700 S 138.4 6.1 1:15.85 gnome-she+ 
3782 root 20 0 123920 1800 1068 R 6.0 0.0 0:00.03 top 
1 root 20 0 53684 7612 2528 S 6.6. 0.2 0:03.02 systemd 
2 root 20 0 0 0 0S 0.0 0.0 0:00.04 kthreadd 
3 root 20 0 0 0 Qs 0.0 0.0 0:00.08 ksoftirqd+ 
5 root 0 -20 0 0 OS 0.0 0.0 0:00.00 kworker/0- 
7 root rt 0 0 0 os 0.0 0.0 0:02.05 migration- 
8 root 20 0 0 0 0S 0.0 0.0 0:00.00 rcu bh 
9 root 20 0 0 0 OS 0.0 0.0 0:00.00 rcuob/0 
10 root 20 0 0 0 OS 0.0 0.0 0:00.00 rcuob/1 
11 root 20 0 0 0 OS 0.0 0.0 0:00.00 rcuob/2 
12 root 20 0 0 0 Qs 0.0 0.0 0:00.00 rcuob/3 
13 root 20 0 0 0 OS 0.0 0.0 0:00.00 rcuob/4 
14 root 20 0 0 0 OS 0.0 0.0 0:00.00 rcuob/5 
15 root 20 0 0 0 OS 0.0 0.0 0:00.00 rcuob/6 
16 root 20 0 0 [6] os 0.0 0.0 0:00.00 rcuob/7 
17 root 20 0 0 0 OS 0.0 0.0 0:00.00 rcuob/8 





m 
H 
E 


图 2-5 top 命令 的 运 


在 图 2-5 中 ，top 命 令 执 行 结 末 的 前 5 行为 系统 整体 的 统计 信 
To RRRS U F 





e 第 1 行 : RRE ETNE ERAMA RAAR 


(三 个 数值 分 别 为 1 分 钟 、5 分 钟 、15 分 钟 内 的 平均 值 ， 数 
值 越 小 意味 着 负载 越 低 〉。 

e 第 2 行 : 进程 总 数 、 运 行 中 的 进程 数 、 睡 眠 中 的 进程 数 、 
停止 的 进程 数 、 僵 死 的 进程 数 。 

e 第 3 行 : 用 户 占 用 资源 百分比 、 系 统 内 核 占 用 资源 百 分 
比 、 改 变 过 优先 级 的 进程 资源 百分比 、 空 闲 的 资源 百分比 


FY 
等 。 





第 3 行 中 的 数据 均 为 CPU 数据 并 以 百分比 格式 显示 ， 例 如 “97.1 
id> 意 味 着 有 97.19% 的 CPU 处 理 避 资源 处 于 空闲 。 











e PÁT: 物理 内 存 总 量 、 内 存 使 用 量 、 内 存 空间 量 、 作 为 
内 核 缓存 的 内 存量 。 

。 第 5 行 : 虚拟 内 存 总 量 、 虚 拟 内 存 使 用 量 、 虚 拟 内 存 空间 
量 、 已 被 提前 加 载 的 内 存量 。 














8.，pidof 命 令 


pidof 命 令 用 于 查询 某 个 指定 服务 进程 的 PID 值 ， 格 式 
为 “pidof [参数 ] [服务 名 称 ]”。 





村 


个 进程 的 进程 号 码 值 (PID) 是 唯一 的 ， 因 此 可 以 通过 


PID 来 区 分 不 同 的 进程 。 例 如 ， 可 以 使 用 如 下 命令 来 查询 本 机 
上 sshd 服 务 程序 的 PID: 


[root@linuxprobe ~]# pidof sshd 
2156 


9. kiló 


kill 命 令 用 于 终止 某 个 指定 PID 的 服务 进程 ， 格 式 为 "kill 
[参数 ] [进程 PID]”。 


接 下 来 ， 我 们 使 用 kill 命 令 把 上 面 用 pidof 命 令 查 询 到 的 PID 
所 代表 的 进程 终止 掉 ， 其 命令 如 下 所 示 。 这 种 操作 的 效果 等 同 
于 强制 停止 sshd 服 务 。 


[root@linuxprobe ~]# kill 2156 


10. killall s 





killall 命 令 用 于 终止 某 个 指定 名 称 的 服务 所 对 应 的 全 部 进 
程 ， 格 式 为 : “killall [参数 ] [进程 名 称 ]”。 





通常 来 讲 ， 复 杂 软 件 的 服务 程序 会 有 多 个 进程 协同 为 用 户 
提供 服务 ， 如 果 逐 个 去 结束 这 些 进程 会 比较 麻烦 ， 此 时 可 以 使 
用 killall 命 令 来 批量 结束 某 个 服务 程序 带 有 的 全 部 进程 。 下 面 
以 httpd 服 务 程序 为 例 ， 来 结束 其 全 部 进程 。 由 于 RHEL7 系 统 





默认 没有 安装 httpd 服 务 程 序 ， 因 此 大 家 此 时 只 需 看 操作 过 程 和 
输出 结果 即 可 ， 等 学 习 了 相关 内 容 之 后 再 来 实践 。 


[root@linuxprobe ~]# pidof httpd 
13581 13580 13579 13578 13577 13576 


[root@linuxprobe ~]# killall httpd 
[root@linuxprobe ~]# pidof httpd 
[root@linuxprobe ~]# 





如 果 我 们 在 系统 终端 中 执行 一 个 命令 后 想 立 即 停止 它 ， 可 以 同时 
按 下 Ctrl + C 组 合 键 (生产 环境 中 比较 常用 的 一 个 快捷 键 ) ， 这 样 将 立 
即 终止 该 命令 的 进程 。 或者， 如 果 有 些 命令 在 执行 时 不 断 地 在 屏幕 上 
输出 信息 ， 有 影响 到 后 续 命令 的 输入 ， 则 可 以 在 执行 命令 时 在 末尾 添加 
上 一 个 & 符号， 这 样 命令 将 进入 系统 后 台 来 执行 。 








24 系统 状态 检测 命令 





作为 一 名 合格 的 运 维 人 员 ， 想 要 更 快 、 更 好 地 了 解 Linux 
服务 器 ， 必 须 具备 快速 查看 Linux 系 统 运 行 状态 的 能 力 ， 因 此 
接 下 来 会 逐个 讲解 与 网 卡 网 络 、 系 统 内 核 、 系 统 负载 、 内 存 使 
用 情况 、 当 前 司 用 终端 数量 、 命令 执行 记录 以 
及 救援 诊断 等 相关 命令 ne 这 些 命令 都 超级 实用 ， 还 
请 读者 用 心 学 习 ， 加 以 掌握 。 

















1. ifconfig 命 令 


ifconfig 命 令 用 于 获取 网 卡 配置 与 网 络 状态 等 信息 ， 格 式 
为 “ifconfig [网 络 设备 ] [参数 ]”。 


使 用 ifconfig 命 令 来 得 看 本 机 当前 的 网 卡 配置 与 网 络 状态 
信息 时 ， 其 实 主要 查看 的 就 是 网 卡 名 称 、 E 
址 、ether 人 参数 后 面 的 网 卡 物理 地 址 〈 又 称 为 MAC 地 址 ) ， 以 
及 RX、TX 的 接收 数据 包 与 发 送 数据 包 的 个 数 及 累计 流量 〈 即 
下 面 加 粗 的 信息 内 容 ) : 











[root@linuxprobe ~]# ifconfig 
eno16777728: flags=4163<UP, BROADCAST , RUNNING ,MULTICAST> 
mtu 1500 
inet 192.168.10.10 netmask 255.255.255.0 broa 
dcast 192.168.10.255 
inet6 fe80::20c:29ff:fec4:a409 prefixlen 64 s 


copeid @x20<link> 

ether 00:0c:29:c4:a4:09 txqueuelen 1000 (Ethe 
rnet) 

RX packets 36 bytes 3176 (3.1 KiB) 

RX errors © dropped © overruns © frame 0 

TX packets 38 bytes 4757 (4.6 KiB) 

TX errors 0 dropped 6 overruns @ carrier @ c 
ollisions 6 


lo: flags=73<UP,LOOPBACK,RUNNING> mtu 65536 

inet 127.0.0.1 netmask 255.0.0.0 

inet6 ::1 prefixlen 128 scopeid @x10<host> 

loop txqueuelen @ (Local Loopback) 

RX packets 386 bytes 32780 (32.0 KiB) 

RX errors © dropped © overruns O frame 6 

TX packets 386 bytes 32780 (32.0 KiB) 

TX errors 0 dropped 0 overruns @ carrier @ c 
ollisions 0 





2. unameíj 4 


uname 命 令 用 于 碍 看 系统 内 核 与 系统 版 本 等 信息 ， 格 式 


为 “uname [-a]”。 











在 使 用 uname 命 令 时 ， 一 般 会 固定 搭配 上 eae 整地 
查看 当前 系统 的 内 核 名称 、 主 机 名 、 内 核 及 行 版 本 、 市 反 名 、 
| 间 、 人 硬件 名 称 、 硬 件 平台 a DL ROME RA 


称 等 SB H A. 











[root@linuxprobe ~]# uname -a 
Linux linuxprobe.com 3.10.0-123.e17.x86 64 #1 SMP Mon M 


ay 5 11:16:57 EDT 2017 
x86 64 x86 64 x86 64 GNU/Linux 

顺带 一 提 ， 如 果 要 查看 当前 系统 版 本 的 详细 信息 ， 则 需要 
查看 redhat-release 文 件 ， 其 命令 以 及 相应 的 结果 如 下 : 


[root@linuxprobe ~]# cat /etc/redhat-release 
Red Hat Enterprise Linux Server release 7.0 (Maipo) 


3. uptime > 


uptime 用 于 得 看 系统 的 负载 信息 ， 格 式 为 uptime。 





uptime 命 令 真 的 很 棱 ， 它 可 以 显示 当前 系统 时 间 、 系 统 已 
运行 时 间 、 启 用 终端 数量 以 及 平均 负载 值 等 信息 。 平 均 负载 值 
指 的 是 系统 在 最 近 1 分 钟 、5 分 钟 、15 分 钟 内 的 压力 情况 C FP 
加 粗 的 信息 部 分 ); 负载 值 越 低 越 好 ， 尽 量 不 要 长 期 超过 1 
在 生产 环境 中 不 要 超过 5。 











[root@linuxprobe ~]# uptime 


22:49:55 up 10 min, 2 users, load average: 0.01, 0.19, 
0.18 





4. freen ^ 


free 用 于 显示 当前 系统 中 内 存 的 使 用 量 信息 ， 格 式 为 “free 
[-h]’. 








为 了 保证 Linux 系 统 不 会 因 资源 耗 尽 而 突然 宕 机 ， 运 维 人 
员 需 要 时 刻 关 注 内 存 的 使 用 量 。 在 使 用 free 命 令 时 ， 可 以 结合 
使 用 -hb 参数 以 更 人 性 化 的 方式 输出 当前 内 存 的 实时 使 用 量 信 
晨 。 表 2-8 所 示 为 在 刘 租 老师 的 电脑 上 执行 free -h 命 令 之 后 的 输 
出 信息 。 需 要 注意 的 征 ， 输 出 信息 中 的 中 文 注 释 是 作者 目 行 添 
加 的 内 容 ， 实 际 输出 时 没有 相应 的 参数 解释 。 























[root@linuxprobe ~]# free -h 


表 2-8 ”执行 free -h 命 令 后 的 输出 信息 


CH | 可 用 | 进程 共享 | WARF | 缓存 的 
量 量 的 内 存量 | 内 存量 
NENNEN 


Mes ms 1.3GB |542MB|9.8MB 1.6MB 413MB 


HE 
869MB | 957MB 





5. who 命 令 


who 用 于 查看 当前 登入 主机 的 用 户 终 端 信息 ， 格 式 为 “who 








[参数 ]”。 





这 三 个 简单 的 字母 可 以 快速 显示 出 所 有 正在 登录 本 机 的 用 
户 的 名 称 以 及 他 们 正在 开启 的 终端 信息 。 表 2-9 所 示 为 执行 who 





命令 后 的 结果 。 





root@linuxprobe ~]# who 


422-9 执行 who 命 令 的 结果 


登录 的 用 户 名 终端 设备 登录 到 系统 的 时 间 





6. last 命 令 
last 命 令 用 于 查看 所 有 系统 的 登录 记录 ， 格 式 为 “]ast [ 参 
AZ]. 














使 用 last 命 令 可 以 查看 本 机 的 登录 记录 。 但 是 ， 由 于 这 些 








训 姑 都 是 以 日 志文 件 的 形式 保存 在 系统 中 ， 因 此 黑客 可 以 很 容 
易 地 对 内 容 进 行 算 改 。 干 万 不 要 单纯 以 该 命令 的 输出 信息 而 判 
I AA CBRE A fe! 





[root@linuxprobe ~]# last 

root pts/0 :0 Mon 
52 still logged in 

root :0 :0 Mon 
52 still logged in 

(unknown :0 :0 Mon 
50 - 17:52 (00:02) 


reboot system boot 3.10.0-123.e17.x Tue 
49 - 18:17 (-7:-32) 
root pts/0 :0 Mon 
40 - 08:54 (74+17:14) 
root pts/0 :0 Fri 
49 - 15:37 (45404:47) 

省 略 部 分 登录 信 hs 








7. history 命 令 





history 命 令 用 于 显示 历史 执行 过 的 命令 ， 格 式 为 "history [- 


cl". 








history 命 令 应 该 是 作者 最 喜欢 的 命令 。 执 行 history 命 令 能 
显示 出 当前 用 户 在 本 地 计算 机 中 执行 过 的 最 近 1000 条 命令 记 
录 。 如 果 觉 得 1000 不 够 用 ， 还 可 以 自 定 义 /etc/profile 文 件 中 的 
HISTSIZE 变 量 值 。 在 使 用 history 命 令 时 ， 如 果 使 用 -c 参 数 则 会 
清空 所 有 的 命令 历史 记录 。 还 可 以 使 用 “! 编 码 数字 ”的 方式 来 











重复 执行 某 一 次 的 命令 。 总 之 ，history 命 令 有 很 多 有 趣 的 玩法 





[root@linuxprobe ~]# history 
tar xzvf VMwareTools-9.9.0-2304977.tar.gz 
cd vmware-tools-distrib/ 

ls 

./vmware-install.pl -d 

reboot 
df -h 
cd /run/media/ 
ls 
cd root/ 

ls 

cd VMware\ Tools/ 

ls 

cp VMwareTools-9.9.0-2304977.tar.gz /home 
cd /home 

ls 

tar xzvf VMwareTools-9.9.0-2304977.tar.gz 
cd vmware-tools-distrib/ 

ls 

./vmware-install.pl -d 

reboot 
21 history 

[root@linuxprobe ~]# !15 
anaconda-ks.cfg Documents initial-setup-ks.cfg Pictu 
res Templates 
Desktop Downloads Music Publi 
C Videos 


CON AU BWDN BP 


O 


PRR 
NF © 


13 


RR 
ui 小 


NRPRPRP RB 
Q (000-0 





历史 命令 会 被 保存 到 用 户 家 目录 中 的 .bash_history 文 件 


中 。Linux 系 统 中 以 点 〈.) 开头 的 文件 均 代 表 隐 藏 文件 ， 这 些 
文件 大 多 数 为 系统 服务 文件 ， 可 以 用 cat 命 令 查 看 其 文件 内 


IP 


容 。 


[root@linuxprobe ~]# cat ~/.bash_history 
要 清空 当前 用 户 在 本 机 上 执行 的 Linux 命 令 历 史记 录 信 
E up Ba: 


[root@linuxprobe ~]# history -c 


8. sosreportii > 


sosreport 命 令 用 于 收集 系统 配置 及 架构 信息 并 输出 诊断 文 
档 ， 格 式 为 sosreport。 

















当 Linux 系 统 出 现 故障 需要 联系 技术 文 持 人 员 时 ， 大 多 数 
时 候 都 要 先 使 用 这 个 命令 来 简单 收集 系统 的 运行 状态 和 服务 配 
置信 息 ， 以 便 让 技术 文 持 人 员 能 够 远程 解决 一 些小 问题 ， 亦 或 
让 他 们 能 提前 了 解 茶 些 复杂 问题 。 在 下 面 的 输出 信息 中 ， 加 狂 
的 部 分 是 收集 好 的 资料 压缩 文件 以 及 校 验 码 ， 将 其 及 送 给 技术 
文 持 人 员 即 可 : 











[root@linuxprobe ~]# sosreport 
sosreport (version 3.0) 
This command will collect diagnostic and configuration 


information from 
this Red Hat Enterprise Linux system and installed appl 
ications. 


An archive containing the collected information will be 
generated in 

/var/tmp and may be provided to a Red Hat support repre 
sentative. 

Any information provided to Red Hat will be treated in 
accordance with 

the published support policies at: 
https://access.redhat.com/support/ 

The generated archive may contain data considered sensi 

tive and its 

content should be reviewed by the originating organizat 
ion before being 

passed to any third party. 


No changes will be made to system configuration. 
Press ENTER to continue, or CTRL-C to quit. 此 处 敲 击 回 车 
来 确认 收集 信息 


~~ 


~~ 


Please enter your first initial and last name [linuxpro 
be.com] : JE Abia cE Ie] ERKAN E DL 
Please enter the case number that you are generating th 


is report for: J Abiti [nl EE AA ELS Ss 


~~ 


~~ 


Running plugins. Please wait ... 

Running 70/70: yum... 

Creating compressed archive... 

Your sosreport has been generated and saved in: 


/var/tmp/sosreport-linuxprobe. com-20170905230631.tar.xz 
The checksum is: 79436cdf791327040efde48c452c6322 


Please send this file to your support representative. 


25 LYA RW Ra? 


工作 目录 指 的 是 用 户 当 前 在 系统 中 所 处 的 位 置 。 由 于 工作 
目录 会 牵涉 系统 存储 结构 相关 的 知识 ， 因 此 第 6 章 将 详细 讲解 
这 部 分 内 容 。 读 者 只 需 简 单 了 解 一 下 这 里 的 操作 实验 即 可 ， 如 
果 不 能 完全 掌握 也 没有 关系 ， ee OE 
庞大 ， 每 一 位 初学 人 员 都 需要 经 历 这 么 一 段 时 期 。 





























pwd 命 令 用 于 显示 用 户 当 前 所 处 的 工作 目录 ， 格 式 为 "pwd 


[root@linuxprobe etc]# pwd 
/etc 


2. cd 命令 


cd 命令 用 于 切换 工作 路 径 ， 格 式 为 “cd [目录 名 称 ]”。 





这 个 命令 应 该 是 最 常用 的 一 个 Linux 命 令 了 。 可 以 通过 cd 
命令 迅速 、 灵 活 地 切换 到 不 同 的 工作 目录 。 除 了 常见 的 切换 目 
录 方 式 ， 还 可 以 使 用 “cd -” 命 令 返 回 到 上 一 次 所 处 的 目录 ， 使 
用 “cd..” 命 令 进 入 上 级 目录 ， 以 及 使 用 “cd ~ ”命令 切换 到 当前 用 
户 的 家 目录 ， 亦 或 使 用 “cd ~username” 切 换 到 其 他 用 户 的 家 目 





录 。 例 如 ， 可 以 使 用 “cd 路 径 ” 的 方式 切换 进 /etc 目 录 中 : 


[root@linuxprobe ~]# cd /etc 


同样 的 道理 ， 可 使 用 下 述 命令 切换 到 /bin 目 录 中 : 


[root@linuxprobe etc]# cd /bin 


此 时 ， 要 返回 到 上 一 次 的 目录 《〈 即 ,etc 目录 ) ， 可 执行 如 


下 命令 : 


[root@linuxprobe bin]# cd - 
/etc 
[root@linuxprobe etc]# 


还 可 以 通过 下 面 的 命令 快速 切换 到 用 户 的 家 目录 : 
[root@linuxprobe etc]# cd ~ 
[root@linuxprobe ~]# 


ls 命令 用 于 显示 目录 中 的 文件 信息 ， 格 式 为 “ls [选项 ] [ 文 











所 处 的 工作 目录 不 同 ， 当 前 工作 目录 下 的 文件 衣 定 也 不 
同 。 使 用 ls 命令 的 “-a" 人 参数 看 到 全 部 文件 《包括 隐藏 文件 ) ， 








使 用 “-]* 参 数 可 以 查看 文件 的 属性 、 大 小 等 详细 信息 。 


将 这 两 





个 参数 整合 之 后 ， 再 执行 ls 命令 即 可 查看 当前 目录 中 的 所 有 文 


件 并 输出 这 


之 些 文件 的 属性 信息 : 








[root@linuxprobe ~]# ls -al 


total 60 
dr-xr-x---. 14 
drwxr-xr-x. 17 
-FW------- a. ok 
cfg 

-FW------- 1 
y 

-rw-r--r--. 1 
-rw-r--r--. 1 
e 

-rw-r--r--. 1 
drwx------ 10 
drwx------ 15 
-rw-n--nr-- 1 
drwx------ 3 
drwxr-xr-x. 2 
drwxr-xr-x. 2 
drwxr-xr-x. 2 
-PNW------- 1 
-PNW------- 1 
y 

-rw-r--r-- 1 
p-ks.cfg 
drwx------ 3 
drwxr-xr-x. 2 
drwxr-xr-x. 2 
drwxr-xr-x. 2 
-rw-r--r--. 1 


root 
root 
root 


root 


root 
root 


root 
root 
root 
root 
root 
root 
root 
root 
root 
root 


root 


root 
root 
root 
root 
root 


root 
root 
root 


root 


root 
root 


root 
root 
root 
root 
root 
root 
root 
root 
root 
root 


root 


root 
root 
root 
root 
root 


4096 
4096 
1213 


957 


129 


May 4 
May 4 
May 4 


May 4 


Dec 
Dec 


Dec 
May 4 
May 
Dec 
May 
May 
May 
May 
May 
May 


BA HHRHRA 


iN 


May 


May 
May 
May 
May 
Dec 28 


BRA HA 


07: 
15: 
15: 


07: 


56 . 
55. vs 


44 


54 


2013 
2013 


2013 


07: 
4 07: 


56 
49 


2013 


07 


07 


07: 
07: 
07: 
07: 


:46 
07: 
07: 
07: 
07: 
07: 


49 
49 
49 
49 
56 


:48 


49 
49 
49 
49 


2013 


anaconda-ks. 
.bash histor 


.bash logout 
.bash profil 


.bashrc 

. cache 
.config 
.cshrc 

.dbus 
Desktop 
Documents 
Downloads 
.esd auth 
.ICEauthorit 


initial-setu 


. local 
Music 
Pictures 
Public 
.tcshrc 


drwxr-xr-x. 2 root root 6 May 4 07:49 Templates 
drwxr-xr-x. 2 root root 6 May 4 07:49 Videos 
-PW------- . 1 root root 1962 May 4 07:54 .viminfo 








如 宁 想 要 丛 看 目录 属性 信息 ， 则 需要 额外 添加 一 个 -d 参 
数 。 例 如 ， 可 使 用 如 下 命令 伍 看 /etc 目 录 的 权限 与 属性 信息 : 


[root@linuxprobe ~]# ls -1d /etc 
drwxr-xr-x. 132 root root 8192 Jul 10 10:48 /etc 











2.6 文本 文件 编辑 命令 


通过 前 面 几 个 小 节 的 学 习 ， 读 者 应 该 基本 掌握 了 切换 工作 
目录 及 对 文件 的 管理 方法 。Linux 系 统 中 一 切 都 是 文件 *， 而 
对 服务 程序 进行 配置 自然 也 就 是 编辑 程序 的 配置 文件 。 如 果 不 
能 熟练 地 查阅 系统 或 服务 的 配置 文件 ， 那 以 后 工作 时 可 就 真 的 
要 篮 炊 了 。 本 节 将 讲解 几 条 用 于 查看 文本 文件 内 容 的 命令 。 至 
于 编辑 器 使 用 起 来 比较 复杂 ， 因 此 将 放 到 第 4 章 与 Shell 脚 本 内 
容 一 起 讲解 














1. cat 命 令 








cat 命 令 用 于 碍 看 纯 文 本 文件 〈 内 容 较 少 的 ) ， 格 式 为 "cat 
[选项 ] DCTET" 





Linux 系 统 中 有 多 个 用 于 查看 文本 内 容 的 命令 ， 每 个 命令 
都 有 自己 的 特点 ， 比 如 这 个 cat 命 令 就 是 用 于 查看 内 容 较 少 的 
纯 文 本 文件 的 。cat 这 个 命令 也 很 好 记 ， 因 为 cat 在 英语 中 
是 “ 猫 ” 的 意思 ， 小 猫咪 是 不 是 给 您 一 种 娇小 、 可 爱 的 感 党 呢 ? 


























如 果 在 查看 文本 内 容 时 还 想 顺 便 显 示 行 号 的 话 ， 不 妨 在 cat 
命令 后 面 退 加 一 个 -n 参 数 : 


[root@linuxprobe ~]# cat -n initial-setup-ks.cfg 





#version=RHEL7 
# X Window System configuration information 
xconfig --startxonboot 


# License agreement 
eula --agreed 
# System authorization information 
auth --enableshadow --passalgo=sha512 
# Use CDROM installation media 
10 cdrom 
11 # Run the Setup Agent on first boot 
12 firstboot --enable 
13 # Keyboard layouts 
14 keyboard --vckeymap=us --xlayouts-'us' 
15 # System language 
16 lang en US.UTF-8 
"— 省 略 部 分 输出 信 sss 


WON A UBWHN BP 





2. more 





more 命 令 用 于 查看 纯 文本 文件 (内 容 较 多 的 ) ， 格 式 
为 “more [选项 ] 文 件 ”。 


如 果 需 要 阅读 长 篇 小 说 或 者 非常 长 的 配置 文件 ， 那 么 “小 
猪 咪 ? 可 就 真 的 不 适合 了 。 因 为 一 旦 使 用 cat 命 令 阅 读 长 篇 的 文 
本 内 容 ， 信 息 束 会 在 屏 大 上 快速 翻 深 ， 导 致 自己 还 没有 来 得 及 
看 到 ， 内 容 就 已 经 翻 篇 了 。 因 此 对 于 长 篇 的 文本 内 容 ， 推 荐 使 
用 more 命 令 来 查看。more 命 令 会 在 最 下 面 使 用 百分比 的 形式 来 
提示 您 已 经 阅读 了 多 少 内 容 。 您 还 可 以 使 用 空格 键 或 回 车 键 向 
TER UR: 





























[root@linuxprobe ~]# more initial-setup-ks.cfg 
#version=RHEL7 

# X Window System configuration information 
xconfig --startxonboot 


# License agreement 

eula --agreed 

# System authorization information 
auth --enableshadow --passalgo=sha512 
# Use CDROM installation media 

cdrom 

# Run the Setup Agent on first boot 
firstboot --enable 

# Keyboard layouts 

keyboard --vckeymap=us --xlayouts-'us' 
# System language 

lang en US.UTF-8 


ignoredisk --only-use-sda 
# Network information 


network --bootproto=dhcp --device=eno16777728 --onboot 
=off --ipv6=auto 

network --bootproto=dhcp --hostname=linuxprobe.com 

- -More- - (43%) 





3. headin 





head 命 令 用 于 查看 纯 文本 文档 的 前 N 行 ， 格 式 为 “head [32 
项 ] [文件 ]”。 








在 阅读 文本 内 容 时 ， 谁 也 难以 保证 会 按照 从 头 到 尾 的 顺序 
往 下 看 完整 个 文件 。 如 果 只 想 查 看 文本 中 前 20 行 的 内 容 ， 该 怎 








么 办 呢 ? head 命 令 可 以 派 上 用 场 了 : 


[root@linuxprobe ~]# head -n 26 initial-setup-ks.cfg 
#version=RHEL7 

# X Window System configuration information 

xconfig --startxonboot 


# License agreement 

eula --agreed 

# System authorization information 
auth --enableshadow --passalgo=sha512 
# Use CDROM installation media 

cdrom 


# Run the Setup Agent on first boot 
firstboot --enable 

# Keyboard layouts 

keyboard --vckeymap=us --xlayouts-'us' 
# System language 

lang en US.UTF-8 


ignoredisk --only-use-sda 

# Network information 

network --bootproto=dhcp --device=eno16777728 --onboot 
=off --ipv6=auto 

[root@linuxprobe ~]# 





4. tail 命 今 





tail 命 令 用 于 查看 纯 文本 文档 的 后 N 行 或 持续 刷新 内 容 ， 格 
obsit o 





我 们 可 能 还 会 遇 到 另外 一 种 情况 ， 比 如 需要 查看 文本 内 容 


的 最 后 20 行 ， 这 时 就 需要 用 到 tail 命 令 了 。tail 命 令 的 操作 方法 
与 head 命 令 非 第 相似 ， 只 需要 执行 “tail -n 20 文件 名 ”命令 束 可 
以 达到 这 样 的 效果 。tail 命 令 最 强悍 的 功能 古 可 以 持续 刷新 一 
个 文件 的 内 容 ， 当 想 要 实时 碍 看 最 新 日 志文 件 时 ， 这 特别 有 
用 ， 此 时 的 命令 格式 为 “tail -f 文件 名 ”: 














[root@linuxprobe ~]# tail -f /var/log/messages 

May 4 07:56:38 localhost gnome-session: Window manager 
warning: Log level 16: 

STACK OP ADD: window 0x1e00001 already in stack 

May 4 07:56:38 localhost gnome-session: Window manager 
warning: Log level 16: 

STACK OP ADD: window 0x1e00001 already in stack 

May 4 07:56:38 localhost vmusr[12982]: [ warning] [G 
tk] gtk disable setlocale() 

must be called before gtk init() 

May 4 07:56:50 localhost systemd-logind: Removed sessi 
on c1. 

Aug 1 01:05:31 localhost systemd: Time has been change 
d 

Aug 1 01:05:31 localhost systemd: Started LSB: Bring u 
p/down networking. 

Aug 1 01:08:56 localhost dbus-daemon: dbus[1124]: [sys 
tem] Activating service 
name-'com.redhat.SubscriptionManager' (using servicehel 
per) 

Aug 1 01:08:56 localhost dbus[1124]: [system] Activati 
ng service name-'com. 

redhat.SubscriptionManager' (using servicehelper) 

Aug 1 01:08:57 localhost dbus-daemon: dbus[1124]: [sys 
tem] Successfully activated 

service 'com.redhat.SubscriptionManager' 


Aug 1 01:08:57 localhost dbus[1124]: [system] Successf 
ully activated service ' 
com.redhat.SubscriptionManager' 








tr 命令 用 于 答 换 文本 文件 中 的 字符 ， 格 式 为 “tr [原始 字符 ] 
[目标 字符 ]”。 


在 很 多 时 候 ， 我 们 想 要 快速 地 蔡 换 文本 中 的 一 些 词汇 ， 又 
BEE PS A AY RHETT HR, CORE FSR, MES 
作 量 太 大 ， 尤 其 是 需要 处 理 大 批量 的 内 容 时 ， 进 行 手工 蔡 换 更 
古 不 现实 。 这 时 ， 束 可 以 先 使 用 cat 命 令 读 取 等 处 理 的 文本 ， 
然后 通过 管道 符 〈 详 见 第 3 革 ) 把 这 些 文本 内 容 传 递 给 tr 命令 进 
ATER TERI AY. PBN, TEAR  OCAS AEE SE EBA 
KS: 




















[root@linuxprobe ~]# cat anaconda-ks.cfg | tr [a-z] [A- 
Z] 

#VERSION=RHEL7 

# SYSTEM AUTHORIZATION INFORMATION 

AUTH --ENABLESHADOW --PASSALGO=SHA512 


# USE CDROM INSTALLATION MEDIA 

CDROM 

# RUN THE SETUP AGENT ON FIRST BOOT 
FIRSTBOOT --ENABLE 

IGNOREDISK --ONLY-USE=SDA 

# KEYBOARD LAYOUTS 

KEYBOARD --VCKEYMAP=US --XLAYOUTS='US' 


# SYSTEM LANGUAGE 
LANG EN_US.UTF-8 


# NETWORK INFORMATION 

NETWORK --BOOTPROTO-DHCP --DEVICE-ENO16777728 --ONBOOT- 
OFF --IPV6-AUTO 

NETWORK --HOSTNAME=LOCALHOST . LOCALDOMAIN 

# ROOT PASSWORD 

ROOTPW --ISCRYPTED $6$PDJJF42G8C6PLO69$II.PX/YFAQPOOENW 
2PA7MOMKJLYOAE2ZJMZ2UZ J7 
BH3UOAOWTR1.WK/HXZ3XIGMZGJPCS/MGPYSSOIS8HPCT8B/ 

# SYSTEM TIMEZONE 

TIMEZONE AMERICA/NEW YORK --ISUTC 

USER --NAME=LINUXPROBE --PASSWORD-$6$A9V3INSTNBWEIR7D$J 
EGFYWBCDOOOK J9SODECCDO. 
ZLFAOSH2AZ2SS2R05B6LZ2A0V2K . RJWSBALL2F EKQVGF6400A/TOK6J 
.7GUTO/ --ISCRYPTED -- 

GECOS="LINUXPROBE" 

# X WINDOW SYSTEM CONFIGURATION INFORMATION 

XCONFIG --STARTXONBOOT 

# SYSTEM BOOTLOADER CONFIGURATION 

BOOTLOADER --LOCATION-MBR --BOOT-DRIVE=SDA 

AUTOPART --TYPE=LVM 

# PARTITION CLEARING INFORMATION 

CLEARPART --NONE --INITLABEL 


%PACKAGES 

@BASE 

@CORE 

(DESKTOP -DEBUGGING 
@DIAL-UP 

@FONTS 

@GNOME - DESKTOP 
@GUEST-AGENTS 
@GUEST-DESKTOP-AGENTS 
@INPUT-METHODS 


@INTERNET-BROWSER 
@MULTIMEDIA 
@PRINT-CLIENT 
Qx11 


为 END 








woc 命 令 用 于 统计 指定 文本 的 行 数 、 字 数 、 字 节 数 ， 格 式 
为 “wc [参数 ] 文本 ”。 








每 次 我 在 读 符 上 讲 到 这 个 命令 时 ， 总 有 同学 会 联想 到 一 种 
公共 设施 ， 其 实 这 两 者 坚 无 关联 。Linux 系 统 中 的 wc 命 令 用 于 
统计 文本 的 行 数 、 字 数 、 字 节 数 等 。 如 果 为 了 方便 目 己 记 住 这 
个 命令 的 作用 ， 也 可 以 联想 到 上 厕所 时 好 无 聊 ， 无 聊 到 数 完 了 
手中 的 如 厕 读物 上 有 多 少 行 字 。 











wc 的 参数 以 及 相应 的 作用 如 表 2-10 所 示 。 
表 2-10 ”we 的 参数 以 及 作用 








在 Linux 系 统 中 ，passwd 是 用 于 保存 系统 账户 信息 的 文 
件 ， 要 统计 当前 系统 中 有 多 少 个 用 户 ， 可 以 使 用 下 面 的 命令 来 








进行 得 询 ， 是 不 是 很 神奇 : 


[root@linuxprobe ~]# wc -1 /etc/passwd 
38 /etc/passwd 


7. stat 命 令 





stat 命 令 用 于 碍 看 文件 的 具体 存储 信息 和 时 间 等 信息 ， 格 
式 为 “stat 文件 名 称 ”。 








stat 命 令 可 以 用 于 查看 文件 的 存储 信息 和 时 间 等 信息 ， 命 
令 stat anaconda-ks.cfg 会 显示 出 文件 的 三 种 时 间 状 态 (已 加 
TH) : Access、Modify、Change。 这 三 种 时 间 的 区 别 将 在 下 面 
的 touch 命 令 中 详细 详解 : 





[root@linuxprobe ~]# stat anaconda-ks.cfg 

File: ‘anaconda-ks.cfg’ 

Size: 1213 Blocks: 8 IO Block: 4096 regular file 
Device: fd00h/64768d Inode: 68912908 Links: 1 

Access: (0600/-rw------- ) Uid: ( 0/ root) Gid: ( 0/ roo 
t) 

Context: system u:object r:admin home t:sO 


Access: 2017-07-14 01:46:18.721255659 -0400 
Modify: 2017-05-04 15:44:36.916027026 -0400 
Change: 2017-05-04 15:44:36.916027026 -0400 
Birth: - 








cut 命 令 用 于 按 “ 列 ”提取 文本 字符 ， 格 式 为 “cut [参数 ] 文 





在 Linux 系 统 中 ， 如 何 准确 地 提取 出 最 想 要 的 数据 ， 

是 我 们 应 该 重点 学 习 的 内 容 。 一 般 而 言 ， de 
提取 数据 是 比较 简单 的 ， 只 需要 设置 好 要 搜索 的 关键 词 即 可 。 
但 是 如 果 按 列 搜索 ， 不 仅 要 使 用 -f 参 数 来 设置 需要 看 的 列 数 ， 

还 需要 使 用 -d 参 数 来 设置 间隔 符号 。passwd 在 保存 用 户 数据 信 
AN, FAP RISO ZA EKA SS SORTA, Be ROR 
我 们 使 用 下 述 命令 尝试 提取 出 passwd 文 件 中 的 用 户 名 信息 ， 即 
提取 以 冒号 〈: ) 为 间隔 符号 的 第 一 列 内 容 : 























[root@linuxprobe ~]# head -n 2 /etc/passwd 
root:x:0:0:root:/root:/bin/bash 
bin:x:1:1:bin:/bin:/sbin/nologin 
[rootglinuxprobe ~]# cut -d: -f1 /etc/passwd 
root 


bin 
daemon 


shutdown 
halt 

mail 
operator 
games 

ftp 

nobody 
dbus 
polkitd 
unbound 
colord 
usbmuxd 
avahi 
avahi-autoipd 
libstoragemgmt 
saslauth 
qemu 

rpc 
rpcuser 
nfsnobody 
rtkit 
radvd 

ntp 

chrony 
abrt 

pulse 

gdm 
gnome-initial-setup 
postfix 
sshd 
tcpdump 
linuxprobe 





a) 


9. diffi; 


2 
D 


diff 命 令 用 于 比较 多 个 文本 文件 的 差异 ， 格 式 为 “diff [ 参 
数 ] 文件 ”。 


在 使 用 diff 命 令 时 ， 不 仅 可 以 使 用 --brief 参 数 来 确认 两 个 文 
件 是 否 不 同 ， 还 可 以 使 用 -c 参 数 来 详细 比较 出 多 个 文件 的 差异 
之 处 ， 这 绝对 是 判断 文件 是 否 被 算 改 的 有 力 神 器 。 例 如 ， 先 使 
用 cat 命 令 分 别 查 看 diff_A.txt 和 diff_B.txt 文 件 的 内 容 ， 然 后 进行 
比较 : 








[root@linuxprobe ~]# cat diff_A.txt 
Welcome to linuxprobe.com 

Red Hat certified 

Free Linux Lessons 

Professional guidance 

Linux Course 

[root@linuxprobe ~]# cat diff_B.txt 


Welcome tooo linuxprobe.com 


Red Hat certified 
Free Linux LeSSonS 
//////// / PL P: B: Bg gg Bl 
Professional guidance 
Linux Course 





接 下 来 使 用 diff --brief 命 令 显 示 比 较 后 的 结果 ， 判 断 文 件 
是 人 否 相 同 : 


[root@linuxprobe ~]# diff --brief diff A.txt diff B.txt 





Files diff A.txt and diff B.txt differ 











最 后 使 用 带 有 -c 参 数 的 dift 命 令 来 描述 文件 内 容 具体 的 不 
同 : 


[root@linuxprobe ~]# diff -c diff A.txt diff_B.txt 
*** giff A.txt 2017-08-30 18:07:45.230864626 +0800 
--- diff B.txt 2017-08-30 18:08:52.203860389 +0800 


K K K OK OK K OK K CK CK OK K K K K 
* KK xK K K 


! Welcome to linuxprobe.com 
Red Hat certified 

! Free Linux Lessons 
Professional guidance 


Linux Course 

--- 1,7 ---- 

! Welcome tooo linuxprobe.com 
| 

Red Hat certified 

! Free Linux LeSSonS 

! TB BM //////// 
Professional guidance 

Linux Course 








2.7 文件 目录 管理 命令 





目前 为 止 ， 我 们 学 习 Linux 命 令 就 像 是 在 夯实 地 基 ， 虽 然 
表面 上 和 暂时 还 看 不 到 成 有 果 ， 但 其 实 大 家 的 内 功 已 经 相当 雄厚 
了 。 在 Linux 系 统 的 日 常 运 维 工作 中 ， 还 需要 掌握 对 文件 的 创 
建 、 修 改 、 复 制 、 驶 切 、 更 名 与 删除 等 操作 。 

















1，touch 命 令 





touch 命 令 用 于 创建 空白 文件 或 设置 文件 的 时 间 ， 格 式 
为 “touch [选项 ] [文件 ]”。 





在 创建 空 昌 的 文本 文件 方面 ， 这 个 touch 命 令 相 当 简 捷 ， 
简捷 到 没有 必要 铺 开 去 讲 。 比 如 ，touch linuxprobe 命 令 可 以 创 
建 出 一 个 名 为 linuxprobe 的 空白 文本 文件 。 对 touch 命 令 来 讲 ， 
有 难度 的 操作 主要 是 体现 在 设置 文件 内 容 的 修改 时 间 

(mtime〉、 文 件 权限 或 属性 的 更 改 时 间 (ctime) 与 文件 的 读 
取 时 间 Catime) 上面 。touch 命 令 的 参数 及 其 作用 如 表 2-11 所 
示 。 





表 2-11 touch 命 令 的 参数 及 其 作用 





-a 仅 修 改 “ 读 取 时 间 ” (atime) 


仅 修 改 “ 修 改 时 间 ” (mtime) 


同时 修改 atime 与 mtime 





接 下 来 ， 我 们 先 使 用 ls 命令 查看 一 个 文件 的 修改 时 间 ， 然 
后 修改 这 个 文件 ， 最 后 再 通过 touch 命 令 把 修改 后 的 文件 时 间 
设置 成 修改 之 间 的 时 间 〈 很 多 黑客 就 是 这 样 做 的 呢 ) 








[root@linuxprobe ~]# ls -l anaconda-ks.cfg 
. 1 root root 1213 May 4 15:44 anaconda-ks.c 


[root@linuxprobe ~]# echo "Visit the LinuxProbe.com to 
learn linux skills" »» 
anaconda-ks.cfg 
[root@linuxprobe ~]# ls -1 anaconda-ks.cfg 
. 1 root root 1260 Aug 2 01:26 anaconda-ks.c 


[root@linuxprobe ~]# touch -d "2017-05-04 15:44" anacon 
da-ks.cfg 
[root@linuxprobe ~]# ls -1 anaconda-ks.cfg 

. 1 root root 1260 May 4 15:44 anaconda-ks.c 





2. mkdir 命 今 


mkdir 命 令 用 于 创建 空白 的 目录 ， 格 式 为 “mkdir [选项 ] H 


录 ” 
N 
o 








ftLinuxA&Ztrp, SPP Reb E WLAN PPR RT 
能 创建 单个 空白 目录 外 ，mkdir 命 令 还 可 以 结合 -p 参 数 来 递归 
创建 出 具有 藤 套 登 层 天 系 的 文件 目录 。 








[root@linuxprobe ~]# mkdir linuxprobe 
[root@linuxprobe ~]# cd linuxprobe 
[root@linuxprobe linuxprobe]# mkdir -p a/b/c/d/e 


[root@linuxprobe linuxprobe]# cd a 
[root@linuxprobe al# cd b 
[root@linuxprobe b]# 











cp 命令 用 于 复制 文件 或 目录 ， 格 式 为 “cp [选项 ] 源 文件 H 


大 家 对 文件 复制 操作 应 该 不 陌生 ， 在 Linux 系 统 中 ， 复 制 
操作 具体 分 为 3 种 情况 : 





e 如 果 目 标 文件 是 目录 ， 则 会 把 源 文 件 复 制 到 该 目录 中 ; 
e 如 果 目 标 文件 也 是 普通 文件 ， 则 会 询问 是 人 否 要 徐 盖 它 ; 
e 如 果 目 标 文件 不 存在 ， 则 执行 正常 的 复制 操作 。 





cp 命令 的 参数 及 其 作用 如 表 2-12 所 示 。 
表 2-12 ”cp 命令 的 参数 及 其 作用 


保留 原始 文件 的 属性 


对 象 为 “链接 文件 ”， 则 保留 该 链接 文件 ”的 属性 


递归 持续 复制 〈 用 于 目录 ) 








各 目标 文件 存在 则 询问 是 否 履 盖 


相当 于 -pdr (p、d、fr 为 上 述 参 数 ) 











接 下 来 ， 使 用 touch 创 建 一 个 名 为 install.log 的 普通 空白 文 
件 ， 然 后 将 其 复制 为 一 份 名 为 x.log 的 备份 文件 ， 最 后 再 使 用 1]s 
命令 查看 目录 中 的 文件 : 














[root@linuxprobe ~]# touch install.log 
[root@linuxprobe ~]# cp install.log x.log 


[root@linuxprobe ~]# ls 
install.log x.log 











mv Fy CPP OR CTE a a FECA “mv [选项 ] 





源 文件 [目标 路 径 | 目标 文件 名 ]”。 


甬 切 操作 不 同 于 复制 操作 ， 因 为 它 会 默认 把 源 文件 删除 
掉 ， 只 保留 前 切 后 的 文件 。 如 果 在 同一 个 目录 中 对 一 个 文件 进 
行 六 切 操作 ， 其 实 也 就 是 对 其 进行 重合 名 : 











[root@linuxprobe ~]# mv x.log linux.log 
[root@linuxprobe ~]# ls 
install.log linux.log 





rm 命令 用 于 删除 文件 或 目录 ， 格 式 为 “rm [选项 ] 文件 ”。 





在 Linux 系 统 中 删除 文件 时 ， 系 统 会 默认 同 您 询问 是 否 
执行 删除 操作 ， 如 果 不 想 总 是 看 到 这 种 反复 的 确认 信息 ， 可 在 
rm 命令 后 跟 上 -{f 参 数 来 强制 删除 。 另 外 ， 想 要 删除 一 个 目录 ， 
需要 在 rm 命令 后 面 一 个 -rz 参数 才 可 以 ， 否 则 删除 不 掉 。 我 们 来 
尝试 删除 前 面 创建 的 installjog 和 ]linux.log 文 件 : 














[root@linuxprobe ~]# rm install.log 
rm: remove regular empty file ‘install.log’? y 
[root@linuxprobe ~]# rm -f linux.log 


[root@linuxprobe ~]# ls 
[root@linuxprobe ~]# 











dd 命令 用 于 按照 指定 大 小 和 个 数 的 数据 块 来 复制 文件 或 转 
换文 件 ， 格 式 为 “dd [参数 ]”。 


dd 命令 是 一 个 比较 重要 而 且 比较 有 特色 的 一 个 命令 ， 它 能 
够 让 用 户 按 照 指定 大 小 和 个 数 的 数据 块 来 复制 文件 的 内 容 。 当 
然 如 果 愿 意 的 话 ， 还 可 以 在 复制 过 程 中 转换 其 中 的 数据 。 
Linux 系 统 中 有 一 个 名 为 /dev/zero 的 设备 文件 ， 每 次 在 课堂 上 人 解 
释 它 时 都 充满 哲学 理论 的 色彩 。 因 为 这 个 文件 不 会 占用 系统 存 
储 空间 ， 但 却 可 以 提供 无 穷 无 尽 的 数据 ， 因 此 可 以 使 用 它 作 为 
dd 命令 的 输入 文件 ， 来 生成 一 个 指定 大 小 的 文件 。dd 命 令 的 参 
数 及 其 作用 如 表 2-13 所 示 。 

















表 2-13 ”dd 命令 的 参数 及 其 作用 


参数 作用 


输入 的 文件 名 称 


输出 的 文件 名 称 
设置 每 个 “ 块 ”" 的 大 小 
设置 要 复制 “ 块 ” 的 个 数 





例如 我 们 可 以 用 dd 命令 从 /dewzero 设 备 文件 中 取出 一 个 大 
小 为 560MB 的 数据 块 ， 然 后 保存 成 名 为 560_file 的 文件 。 在 理 
解 了 这 个 命令 后 ， 以 后 就 能 随意 创建 任意 大 小 的 文件 了 : 


[root@linuxprobe ~]# dd if=/dev/zero of=560 file count= 
1 bs-560M 


1+0 records in 
1+0 records out 
587202560 bytes (587 MB) copied, 27.1755 s, 21.6 MB/s 











dd 命令 的 功能 也 绝 不 仅 限于 复制 文件 这 么 简单 。 如 果 您 想 
把 光驱 设备 中 的 光盘 制作 成 iso 格 式 的 镜像 文件 ， 在 Windows 系 
统 中 需要 借助 于 第 三 方 软件 才能 做 到 ， 但 在 Linux 系 统 中 可 以 
直接 使 用 dd 命令 来 压制 出 光盘 镜像 文件 ， 将 它 编 程 一 个 可 立即 
使 用 的 iso 镜 像 : 
[root@linuxprobe ~]# dd if=/dev/cdrom of=RHEL-server-7. 


0-x86 64-LinuxProbe.Com.iso 
7311360«0 records in 


7311360+0 records out 
3743416320 bytes (3.7 GB) copied, 370.758 s, 10.1 MB/s 





考虑 到 有 些 读 者 会 纠结 bs 块 大 小 与 count 块 个 数 的 关系， 下 
面 举 一 个 吃 货 的 例子 进行 解释 。 假 设 小 明 的 饭量 〈 即 需求 ) 是 
一 个 固定 的 值 ， 用 来 盛 饭 的 勺子 的 大 小 即 bs 其 大 小 ， 而 用 勺子 
成 饭 的 次 数 即 count 块 个 数 。 小 明 要 想 吃 饱 〈 满 足 需求 ) ， 则 








需要 在 勺子 大 小 〈bs 块 大 小 ) 与 用 勺子 盛 饭 的 次 数 《〈count 块 个 
BO ZIRE PH. PMA, FAP REIN BUD. A 


上 可 见 ，bs 与 count 都 是 用 来 指定 容量 的 大 小 ， 只 要 能 满足 需 
求 ， 可 随意 组 合 搭配 方式 。 








7，file 命 令 


file 命 令 用 于 查看 文件 的 类 型 ， 格 式 为 “file 文件 名 ”。 








在 Linux 系 统 中 ， 由 于 文本 、 上 目录、 设备 等 所 有 这 些 一 切 
都 统称 为 文件 ， 而 我 们 又 不 能 单反 后 级 束 知 道具 体 的 文件 类 
型 ， 这 时 就 需要 使 用 fle 命 令 来 查看 文件 类 型 了 。 








[root@linuxprobe ~]# file anaconda-ks.cfg 
anaconda-ks.cfg: ASCII text 


[root@linuxprobe ~]# file /dev/sda 
/dev/sda: block special 





2.8 打包 压缩 与 搜索 命令 


在 网 络 上 ， 人 们 越 来 越 倾向 于 传输 压缩 格式 的 文件 ， 原 因 
是 压缩 文件 体积 小 ， 在 网 速 相同 的 情况 下 ， 传 输 时 间 短 。 下 面 
将 学 习 如 何在 Linux 系 统 中 对 文件 进行 打包 压缩 与 解压 ， 以 及 
让 用 户 基于 关键 词 在 文本 文件 中 搜索 相 匹配 的 信息 、 在 整个 文 
件 系统 中 基于 指定 的 名 称 或 属性 搜索 特定 文件 。 本 节 昌 然 只 有 
3 条 命令 ， 但 是 其 功能 都 比较 复杂 而 且 参数 很 多 ， 因 此 放 到 了 
本 章 最 后 讲解 。 























1，tar 命 令 





tar 命 令 用 于 对 文件 进行 打包 压缩 或 解压 ， 格 式 为 “tar Doc 
项 ] DET. 





在 Linux 系 统 中 ， 常 见 的 文件 格式 比较 多 ， 其 中 主要 使 用 
的 是 .tar 或 .tar.gz 或 .tar.bz2 格 式 ， 我 们 不 用 担心 格式 太 多 而 记 不 
住 ， 其 实 这 些 格式 大 部 分 都 是 由 tar 命 令 来 生成 的 。 刘 站 老 师 将 
讲解 最 重要 的 几 个 参数 ， 以 方便 大 家 理解 。tar 命 令 的 参数 及 其 
作用 如 表 2-14 所 示 。 


表 2-14 tar 命令 的 参数 及 其 作用 


参数 作用 


au 
aM 


查看 压缩 包 内 有 哪些 文件 


用 Gzip 压缩 或 解压 


用 bzip2 压 缩 或 解压 








显示 压缩 或 解压 的 过 程 
目标 文件 名 


保留 原始 的 权限 与 属性 


使 用 绝对 路 径 来 压缩 
指定 解压 到 的 目录 


首先 ，-c 参 数 用 于 创建 压缩 文件 ，-x 参 数 用 于 解压 文件 ， 





因此 这 两 个 参数 不 能 同时 使 用 。 其 次 ，-z 参 数 指 定 使 用 Gzip 格 
式 来 压缩 或 解压 文件 ，-j 参 数 指定 使 用 bzip2 格 式 来 压缩 或 解压 
文件 。 用 户 使 用 时 则 是 根据 文件 的 后 缀 来 决定 应 使 用 何 种 格式 
参数 进行 解压 。 在 执行 某 些 压缩 或 解压 操作 时 ， 可 能 需要 兹 费 
数 个 小 时 ， 如 果 屏 大 一 直 没 有 输出 ， 您 一 方面 不 好 判断 打包 的 
进度 情况 ， 男 一 方面 也 会 怀疑 电脑 死机 了， 因此 非常 推荐 使 
用 -Vv 参数 回 用 户 不 断 显示 压 见 或 解压 的 过 程 。-C 参 数 用 于 指定 
要 解压 到 哪个 指定 的 目录 。-f 参 数 特别 重要 ， 它 必须 放 到 参数 
的 最 后 一 位 ， 代 表 要 压缩 或 解压 的 软件 包 名 称 。 刘 道 老师 一 般 
使 用 “tar -czvf 压缩 包 名 称 .tar.gz 要 打包 的 目录 ”命令 把 指定 的 
文件 进行 打包 压缩 ; 相应 的 解压 命令 为 “tar -xzvf 压缩 包 名 

称 .tar.gz”。 下 面 我 们 来 逐个 演示 下 打包 压缩 与 解压 的 操作 。 先 
使 用 tar 命 令 把 /etc 目 录 通 过 gzip 格 式 进行 打包 压缩 ， 并 把 文件 
fin 44 7Jetc.tar.gz: 






































[root@linuxprobe ~]# tar -czvf etc.tar.gz /etc 
tar: Removing leading '/' from member names 

/ etc/ 

/ etc/fstab 

/etc/crypttab 

/etc/mtab 

/etc/fonts/ 

/ etc/fonts/conft.d/ 

/ etc/fonts/conf.d/65-0-madan.conf 

/ etc/fonts/conf.d/59-liberation-sans.conf 
/etc/fonts/conf.d/90-ttf-arphic-uming-embolden.conf 
/etc/fonts/conf.d/59-liberation-mono. conf 


/etc/fonts/conf.d/66-sil-nuosu. conf 
m 省 略 部 分 压缩 过 程 信息 ..…… 





接 下 来 将 打包 后 的 压缩 包 文 件 指 定 解压 到 /rootetc 目 录 中 
〈 先 使 用 mkdir 命 令 来 创建 mootyetc 目 录 ) : 


[root@linuxprobe ~]# mkdir /root/etc 

[root@linuxprobe ~]# tar xzvf etc.tar.gz -C /root/etc 

etc/ 

etc/fstab 

etc/crypttab 

etc/mtab 

etc/fonts/ 

etc/fonts/conf.d/ 

etc/fonts/conf.d/65-0-madan. conf 

etc/fonts/conf.d/59-liberation-sans.conf 

etc/fonts/conf.d/90-ttf-arphic-uming-embolden.conf 

etc/fonts/conf.d/59-liberation-mono.conf 

etc/fonts/conf.d/66-sil-nuosu.conf 

etc/fonts/conf.d/65-1-vlgothic-gothic.conf 

etc/fonts/conf.d/65-0-lohit-bengali.conf 

etc/fonts/conf.d/20-unhint-small-dejavu-sans.conf 
省 上 略 部 分 解压 过 程 信息 .………… 





2.，grep 命 令 





grep 命 令 用 于 在 文本 中 执行 关键 词 搜索 ， 并 显示 匹配 的 结 
果 ， 格 式 为 “grep [选项 ] [文件 j”。grep 命 令 的 参数 及 其 作用 如 
表 2-15 所 示 。 


表 2-15 ”grep 命 令 的 参数 及 其 作用 


将 可 执行 文件 binary) 当 作 文本 文件 〈text) 来 搜索 


仅 显 示 找 到 的 行 数 


pe fee 000 


反 向 选择 一 仅 列 出 没有 “关键 词 ” 的 行 








grep 命 令 古 用 途 最 广泛 的 文本 搜索 匹配 工具 ， 虽 然 有 很 多 
参数 ， 但 是 大 多 数 基本 上 都 用 不 到 。 刘 道 老师 在 总 结 了 近 10 年 
的 运 维 工作 和 培训 教学 的 经 验 后 ， 提 出 的 本 书 的 写作 理念 “去 
掉 不 实用 ?绝对 不 是 信口开河 。 如 果 一 名 IT 培训 讲师 的 水 平 只 
能 集 留 在 “技术 的 搬运 工 ” 层 面 ， 而 不 能 对 优质 技术 知识 进行 拓 
炼 总 结 ， 那 对 他 的 学 生来 讲 绝 非 好 事 。 我 们 在 这 里 只 讲 两 个 最 
最 常用 的 参数 : -n 参 数 用 来 显示 搜索 到 信息 的 行 写 ; -Vv 参数 用 
于 有 反选 信息 〈 即 没有 包含 关键 词 的 所 有 信息 行 )。 这 两 个 参数 
几乎 能 完成 您 日 后 80% 的 工作 需要 ， 人 至 于 其 他 上 百 个 参数 ， 即 






































使 以 后 在 工作 期 间 遇 到 了 ， 再 使 用 man grep 命 令 碍 询 也 来 得 
及 。 





在 Linux 系 统 中 ，/etc/passwd 文 件 是 保存 着 所 有 的 用 户 信 
晨 ， 而 一 旦 用 户 的 登录 终端 被 设置 成 /sbin/nologin， 则 不 再 允 
许 登录 系统 ， 因 此 可 以 使 用 grep 命 令 来 查找 出 当前 系统 中 不 允 
许 登 录 系 统 的 所 有 用 户 信息 : 














[root@linuxprobe ~]# grep /sbin/nologin /etc/passwd 
bin:x:1:1:bin:/bin:/sbin/nologin 

daemon: x:2:2:daemon:/sbin:/sbin/nologin 

adm: x:3:4:adm:/var/adm: /sbin/nologin 


1p:x:4:7:1p:/var/spool/lpd:/sbin/nologin 

mail:x:8:12:mail:/var/spool/mail:/sbin/nologin 

operator:x:11:0:operator: /root:/sbin/nologin 
省 上 略 部 分 输出 过 程 信息 .…………… 





3，find 命 今 





find 命 令 用 于 按照 指定 条 件 来 查找 文件 ， 格 式 为 “find [E 
找 路 径 ] 寻找 条 件 操作 ”。 


本 书 中 曾经 多 次 提 到 “Linux 系 统 中 的 一 切 都 是 文件 ”， 接 
下 来 就 要 见证 这 人 句 话 的 分 量 了 。 在 Linux 系 统 中 ， 搜 索 工 作 一 
般 都 是 通过 find 命 令 来 完成 的 ， 它 可 以 使 用 不 同 的 文件 特性 作 
为 寻找 条 件 《〈 如 文件 名 、 大 小 、 修 改 时 间 、 权 限 等 信息 ) ， 一 
且 匹 配 成 功 则 默认 将 信息 显示 到 屏幕 上 。find 命 令 的 参数 以 及 











作用 如 表 2-16 所 示 。 
表 2-16 ”find 命 令 中 的 参数 以 及 作用 


" 


匹配 修改 内 容 的 时 间 (-n 指 n 天 以 内 ，+n 指 n 天 以 前 ) 
匹配 访问 文件 的 时 间 (-n 指 n 天 以 内 ，+n 指 n 天 以 前 ) 
匹配 修改 文件 权限 的 时 间 (-n 指 n 天 以 内 ，+n 指 n 天 以 前 ) 





-nouser 匹配 无 所 有 者 的 文件 


匹配 无 所 有 组 的 文件 


匹配 比 文件 全 新 但 比 亿 旧 的 文件 


--type 匹配 文件 类 型 “后 面 的 字幕 参数 依次 表示 块 设备 、 目 录 、 
b/d/c/p/1/f | 字符 设备 、 管 道 、 链 接 文件 、 文 本 文件 ) 


匹配 文件 的 大 小 (+50KB 为 查找 超过 50KB 的 文件 ， 
而 -50KB 为 查找 小 于 50KB 的 文件 ) 


后 面 可 跟 用 于 进一步 处 理 搜索 结果 的 命令 《下 文 会 有 演 
Zh) 





这 里 需要 重点 讲解 一 下 -exec 参 数 重要 的 作用 。 这 个 参数 用 
于 把 find 命 令 搜 索 到 的 结果 交 由 紧 随 其 后 的 命令 作 进一步 处 
理 ， 它 十 分 类 似 于 第 3 章 将 要 讲解 的 兴 道 符 拉 术 ， 并 且 由 于 find 
命令 对 参数 的 特殊 要 求 ， 因 此 虽然 exec 是 长 格式 形式 ， 但 依然 
只 需要 一 个 减 写 (-) 。 


根据 文件 系统 层次 标准 (Filesystem Hierarchy Standard) 
协议 ，Linux 系 统 中 的 配置 文件 会 保存 到 /etc 目 录 中 〈 详 见 第 6 
T$) 。 如 果 要 想 获取 到 该 目录 中 所 有 以 host 开 头 的 文件 列表 ， 
可 以 执行 如 下 命令 : 














[root@linuxprobe ~]# find /etc -name "host*" -print 
/etc/avahi/hosts 

/etc/host. conf 

/etc/hosts 


/etc/hosts.allow 
/etc/hosts.deny 
/etc/selinux/targeted/modules/active/modules/hostname.p 


p 
/etc/hostname 








如 果 要 在 整个 系统 中 搜索 权限 中 包括 SUID 权 限 的 所 有 文 
件 〈 详 见 第 5 章 ) ， 只 需 使 用 -4000 即 可 : 


[root@linuxprobe ~]# find / -perm -4000 -print 
/usr/bin/fusermount 

/usr/bin/su 

/usr/bin/umount 


/usr/bin/passwd 
/usr/sbin/userhelper 
/usr/sbin/usernetctl 

省 略 部 分 输出 信 sss 





阶 实验 : 在 整个 文件 系统 中 找 出 所 有 归属 于 linuxprobe 用 户 的 文 
i emer 


该 实验 的 重点 是 “-exec (0 ”\;” 参 数 ， 其 中 的 全 表示 find 命 令 搜索 出 
的 每 一 个 文件 ， 并 有 日 命令 的 结尾 必须 是 ^\;”。 完 成 该 实验 的 具体 命令 如 








[root@linuxprobe ~]# find / -user linuxprobe -exec cp - 
a {} /root/findresults/ \; 


在 本 章 最 后 ， 刘 道 老 师 再 多 提 几 句 : 很 多 读者 初次 接触 到 
本 书 时 都 担心 因为 自己 的 英语 基础 不 好 而 导致 学 不 会 Linux 系 
统 ， 其 实 大 可 不 必 担 心 ， 因 为 我 们 的 图 书 、 培 训 课 程 甚 至 红 帽 
考题 都 是 中 文 的 。 而 在 学 习 完 本 章 后 您 也 一 定 发 现 了 ， 我 们 以 
后 要 使 用 的 是 Linux 命 令 ， 而 绝 不 是 纯粹 的 身 语 单词 ， 即 便 它 
们 的 拼写 100% 相 同 ， 最 终 用 处 肯定 也 是 不 一 样 的 。 因 此 残 学 
习 Linux 系 统 技术 来 讲 ， 您 跟 英 语 达 人 绝对 都 是 站 在 同一 起 跑 
更 何况 还 正确 地 选择 了 一 本 适合 您 的 Linux 教 材 。 休 

一 下 ， 然 后 开始 学 习 第 3 草 吧 ! 
































F A 


1. 在 RHEL 7 系统 及 众多 的 Linux 系 统 中 ， 最 常 使 用 的 
Shell vig EIT A ? 


答 : Bash (Bourne-Again SHell) 解释 器 。 


2. 执行 Linux 系 统 命令 时 ， 添 加 参数 的 目的 是 什么 ? 





Z: 为 了 让 Linux 系 统 命令 能 够 更 贴 合用 户 的 实际 需求 进 
MLF 


3. Linux 系 统 命令 、 命 令 参 数 及 命令 对 象 之 间 ， 普 志 应 该 
使 用 什么 来 间隔 ? 


答 ， 应 该 使 用 一 个 或 多 个 空格 进行 间隔 。 


4. 请 写 出 用 echo 命 令 把 SHELL 变 量 值 输出 到 屏幕 终端 的 
命令 。 


= 


= echo $SHELL. 
5. 简 述 Linux 系 统 中 5 种 进程 的 名 称 及 含义 。 


答 : 在 Linux 系 统 中 ， 有 下 面 5 种 进程 名 称 。 





R (i877) : 进程 正在 运行 或 在 运行 队列 中 等 待 。 





S CHIT) : 进程 处 于 休眠 中 ， 当 菏 个 条 件 形 成 后 或 者 接 
收 到 信号 时 ， 则 脱离 该 状态 。 





D (APM) : 进程 不 啊 应 系统 异步 信号 ， 即 便 用 Kill 
命令 也 不 能 将 其 中 断 。 


Z EJE) : 进程 已 经 终止 ,但 进程 换 述 符 依 然 存在 , 直 
到 父 进程 调用 wait40 系 统 函 数 后 将 进程 释放 。 








T (EO : 进程 收 到 停止 信号 后 停止 运行 。 








6. 请 尝试 使 用 Linux 系 统 命令 天 闭 PID 为 5529 的 服务 进 


答 : 执行 kill 5529 命 令 即 可 ; 奉 知 道 服 务 的 名 称 ， 则 可 以 
使 用 killall 命 令 进行 关闭 。 








7. 使 用 ifconfig 命 令 查 看 网 络 状态 信息 时 ， 需 要 重点 查看 
的 4 项 信息 分 别 是 什么 ? 








ZR. 这 4 项 重要 信息 分 别 是 网 卡 名 称 、IP 地 址 、 网 卡 物理 
地 址 以 及 RX/TX 的 收发 流量 数据 大 小 。 





8. 使 用 uptime 命 令 碍 看 系统 负载 时 ， 对 应 的 负载 数值 如 


果 是 0.91、0.56、0.32， 那 么 最 近 15 分 钟 内 负载 压力 最 大 的 是 
哪个 时 间 段 ? 


AR. 通过 负载 数值 可 以 看 出 ， 最 近 1 分 钟 内 的 负载 压力 是 
最 大 的 。 


9. 使 用 history 命 令 碍 看 历史 命令 的 执行 记录 时 ， 命 令 前 
面 的 数字 除了 排序 外 还 有 什么 用 处 ? 


答 : 还 可 以 用 “! 数 字 ?” 的 命令 格式 重复 执行 茶 一 次 的 命令 
记录 ， 从 而 避免 了 重复 输入 较 长 命令 的 及 烦 。 





AABAA) 
DAT 


ET e 


10. ZAR EUER KISS, ASA (HH cat. 
more, head, tail" KJE 


站 命令 最 合适 ? 


文件 内 容 较 长 ， 使 用 more 命 令 


反之 使 用 cat 命 令 。 
11. 在 使 用 mkdir 命 令 创 建 有 网 套 关 系 的 目录 时 ， 应 该 加 
上 什么 参数 呢 ? 


Zu 


E e 


PEL E-p3S HASTAS JAM Bam eye eX 
系 的 目录 。 


12. 在 使 用 rm 命令 删除 文件 或 目录 时 ， 可 使 用 哪个 参数 来 
避免 二 次 确认 呢 ? 





答 : 可 使 用 -f 参 数 ， 这 样 即 可 无 需 二 次 确认 。 


13. 和 若 有 一 个 名 为 backup.tar.gz 的 压缩 包 文 件 ， 那 么 解压 
的 命令 应 该 是 什么 ? 


Tt. 应 该 用 tar 命 令 进行 解压 ， 执 行 tar -xzvf backup.tar.gz 命 
令 即 可 o 





14. (FA grep tir Xt ET SC PPE TT CBE WRITER NY, Er EU 
进行 文件 内 容 反 选 ， 应 使 用 什么 参数 ? 


答 : 可 使 用 -v 参 数 来 进行 由 配 内 容 的 反问 选择 ， 即 显示 出 
不 包含 菏 个 关键 词 的 行 。 





第 3 章 ” 管 遂行、 重 定 癌 与 环境 变量 


常用 的 转 义 字符 ; 


重要 的 环境 变量 。 











目前 为 止 ， 我 们 已经 学 习 了 数 十 个 利用 的 Linux 系 统 命 
令 ， 如 采 不 能 把 这 些 命令 进行 组 合 使 用 ， 则 无 法 提升 工作 效 
率 。 本 革 首 先 讲解 与 文件 读 写 操作 有 关 的 重 定 同 技术 的 5 种 模 
式 一 一 标准 禾 直 输出 重 定 向 、 标 准 追 加 和 输出 重 定 和 同 、 错 误 履 兰 
输出 重 定 同 、 错 误 退 加 输出 重 定 同 以 及 输入 重 定 辣 ， 让 读者 通 
过 实验 切实 理解 每 个 重 定向 模式 的 作用 ， 解 决 输出 信息 的 保存 
问题 。 然 后 深入 讲解 管道 命令 符 ， 儿 助 读者 向 握 命令 之 间 的 搭 
配 使 用 方法 ， 进 一 步 提 高 命令 输出 值 的 处 理 效 率 。 随 后 通过 讲 
解 Linux 系 统 命令 行 中 的 通配符 和 和 负 见 转 义 符 ， 让 您 输入 的 




















Linux 命 令 具有 更 准确 的 意义 ， 为 下 一 章 学 习 编 写 Shell 脚 本 打 
好 功底 。 最 后 ， 本 章 深度 剖析 了 Bash 解 释 器 执行 Linux 命 令 的 
内 部 原理 ， 为 读者 掌握 PATH 变量 及 Linux 系 统 中 的 重要 环境 变 
量 打 下 了 基础 。 








3.1 输入 输出 重 定 问 





既然 我 们 已 经 在 上 一 章 学 完了 几乎 所 有 基础 且 第 用 的 
Linux 命 令 ， 那 么 接 下 来 的 任务 就 是 把 多 个 Linux 命 令 适 当地 组 
合 到 一 起 ， 使 其 协同 工作 ， 以 便 我 们 更 加 高 效 地 处 理 数据 。 要 
做 到 这 一 点 ， 就 必须 搞 明 日 命令 的 输入 重 定 问 和 输出 重 定 辣 的 
原理 。 





简 而 言 之 ， 输 入 重 定 癌 是 指 把 文件 导入 到 命令 中 ， 而 输出 
重 定 癌 则 是 指 把 原本 要 输出 到 屏幕 的 数据 信息 写 入 到 指定 文件 
中 。 在 日 第 的 学 习 和 工作 中 ， 相 较 于 输入 重 定 同 ， 我 们 使 用 输 
出 重 定 癌 的 频率 更 高 ， 所 以 叉 将 输出 重 定 同 分 为 了 标准 输出 重 
定 问 和 错误 输出 重 定 同 两 种 不 同 的 技术 ， 以 及 清空 写 入 与 奶 加 
写 入 两 种 模式 。 听 起 来 束 很 玄妙 ? 间 咀 老 师 接 下 来 将 慢 慢 道 
来 。 




















e 标准 输入 重 定向 (CSTDIN， 文 件 描述 符 为 0) : 默认 从 键 
盘 输 入 ， 也 可 从 其 他 文件 或 命令 中 输入 。 

。 标 准 输出 重 定向 〈STDOUT， 文 件 描述 符 为 1) : 默认 输 
出 到 屏幕 。 

e 错误 输 出 重 定向 (STDERR, LRR) : 默认 输出 
FI DERF o 





比如 我 们 分 别 碍 看 两 个 文件 的 属性 信息 ， 其 中 第 二 个 文件 
古 不 存在 的 ， 虽 然 针 对 这 两 个 文件 的 操作 都 分 别 会 在 屏幕 上 和 输 
出 一 些 数据 信息 ， 但 这 两 个 操作 的 差异 其 实 很 大 : 











[root@linuxprobe ~]# touch linuxprobe 
[root@linuxprobe ~]# ls - linuxprobe 


-rw-r--r--. 1 root root 0 Aug 5 05:35 linuxprobe 
[rootglinuxprobe ~]# ls -1 xxxxxx 
ls: cannot access xxxxxx: No such file or directory 








在 上 述 命令 中 ， 名 为 linuxprobe 的 文件 是 存在 的 ， 输 出 信 
恩 是 该 文件 的 一 些 相 关 权 限 、 所 有 者 、 所 属 组 、 文 件 大 小 及 修 
改 时 间 等 信息 ， 这 也 是 该 命令 的 标准 输出 信息 。 而 名 为 XXXXXX 
的 第 二 个 文件 是 不 存在 的 ， 因 此 在 执行 完 ls 命 令 之 后 显示 的 报 
错 提示 信息 也 是 该 命令 的 错误 输出 信息 。 那 么 ， 要 想 把 原本 输 
出 到 屏幕 上 的 数据 转 而 写 入 到 文件 当中 ， 就 要 区 别 对 竺 这 两 种 
输出 信息 。 

















对 于 输入 重 定 癌 来 讲 ， 用 到 的 符号 及 其 作用 如 表 3-1 所 





表 3-1 ”输入 重 定 同 中 用 到 的 符 写 及 其 作用 








命令 < 文件 1> 文件 | 将 文件 1 作为 命令 的 标准 输入 并 将 标准 输出 到 文 








对 于 输出 重 定 癌 来 讲 ， 用 到 的 符号 及 其 作用 如 表 3-2 所 





表 3-2 ”输出 重 定 癌 中 用 到 的 符号 及 其 作用 


将 标准 输出 重 定向 到 一 个 文件 中 清空 原 有 文件 的 数 
48) 


将 错误 输出 重 定向 到 一 个 文件 中 “清空 原 有 文件 的 数 
据 ) 


将 标准 输出 重 定向 到 一 个 文件 中 (人 奶 加 到 原 有 内 容 的 
后 面 ) 





命令 2>> 文件 | 将 错误 输出 重 定向 到 一 个 文件 中 人 退 加 到 原 有 内 容 的 
后 面 ) 


iue ODIT 


2>&1 


将 标准 输出 与 错误 输出 共同 写 入 到 文件 中 (追加 到 原 


有 内 容 的 后 面 ) 


aS &>> X 


ft 








对 于 重 定 向 中 的 标准 输出 模式 ， 可 以 省 略 文件 摘 述 符 1 不 
写 ， 而 错误 输出 模式 的 文件 描述 符 2 是 必须 要 写 的 。 我 们 先 来 
小 试 牛 刀 。 通 过 标准 输出 重 定 问 将 man bash 命 令 原 本 要 输出 到 
屏幕 的 信息 写 入 到 文件 readme.txt 中 ， 然 后 显示 readme.txt 文 件 
中 的 内 容 。 具 体 命令 如 下 : 











[root@linuxprobe ~]# man bash > readme.txt 

[root@linuxprobe ~]# cat readme.txt 

BASH(1) General Commands Manual 
BASH(1) 


NAME 
bash - GNU Bourne-Again SHell 


SYNOPSIS 
bash [options] [file] 


COPYRIGHT 
Bash is Copyright (C) 1989-2011 by the Free Software Fo 
undation, Inc. 


DESCRIPTION 

Bash is an sh-compatible command language interpret 
er that executes 

commands read from the standard input or from a file. 
Bash also incor- 

porates useful features from the Korn and C shells (ksh 
and csh). 


Bash is intended to be a conformant implementation 

of the Shell and 

Utilities portion of the IEEE POSIX specification 
(IEEE Standard 

1003.1). Bash can be configured to be POSIX-conformant 
by default. 
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有 没有 感觉 到 很 方便 呢 ? 我 们 接 下 来 尝试 输出 重 定 问 技 术 
中 的 履 盖 写 入 与 奶 加 写 入 这 两 种 不 同 模 式 市 来 的 变化 。 首 先 通 
过 和 窗 新 写 入 模式 疝 readme.txt 文 件 写 入 一 行 数据 (该 文件 中 包 
含 上 一 个 实验 的 man 命 令 信 息 ) ， 然 后 再 通过 追加 写 入 模式 癌 
文件 再 写 入 一 次 数据 ， 其 命令 如 下 : 

















[root@linuxprobe ~]# echo "Welcome to LinuxProbe.Com" > 
readme.txt 


[root@linuxprobe ~]# echo "Quality linux learning mater 
ials" >> readme.txt 





在 执行 cat 命 令 之 后 ， 可 以 看 到 如 下 所 示 的 文件 内 容 : 





[root@linuxprobe ~]# cat readme.txt 
Welcome to LinuxProbe.Com 
Quality linux learning materials 


里 然 都 是 输出 重 定 同 技 术 ， 但 是 不 同 命 令 的 标准 输出 和 错 
误 输 出 还 是 有 区 别 的 。 例 如 查看 当前 目录 中 某 个 文件 的 信息 ， 
这 里 以 linuxprobe 文 件 为 例 。 因 为 这 个 文件 是 真实 存在 的 ， 
此 使 用 标准 输出 即 可 将 原本 要 输出 到 屏幕 的 信息 写 入 到 文件 
中 ， 而 错误 的 输出 重 定向 则 依然 把 信息 输出 到 了 屏 大 上 。 























[root@linuxprobe ~]# ls -1 linuxprobe 

-rw-r--r--. 1 root root 0 Mar 1 13:30 linuxprobe 
[root@linuxprobe ~]# ls - linuxprobe > /root/stderr.tx 
t 


[root@linuxprobe ~]# ls -1 linuxprobe 2» /root/stderr.t 
xt 
-rw-r--r--. 1 root root 0 Mar 1 13:30 linuxprobe 





re c D 该 怎么 操作 呢 ? 当 
用 户 在 执行 一 个 目 动 化 的 Shell 脚 本 时 ， 这 个 操作 会 特 AAA, 
而 且 特 别 实 用 ， 因 为 它 可 以 把 整个 脚本 执行 过 程 中 的 报错 信息 
都 记录 到 文件 中 ， 便 于 安装 后 的 排 错 工作 。 接 下 来 我 们 以 一 个 
不 存在 的 文件 进行 实验 演示 : 




















[root@linuxprobe ~]# ls -1 xxxxxx 

cannot access xxxxxx: No such file or directory 
[root@linuxprobe ~]# ls - xxxxxx > /root/stderr.txt 
cannot access xxxxxx: No such file or directory 


[root@linuxprobe ~]# ls - xxxxxx 2» /root/stderr.txt 
[root@linuxprobe ~]# cat /root/stderr.txt 
ls: cannot access xxxxxx: No such file or directory 
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一 点 。 输 入 重 定 同 的 作用 是 把 文件 直接 导入 到 命令 中 。 接 下 来 
使 用 输入 重 定 向 把 readme.txt 文 件 导 入 给 wc -] 命 令 ， 统 计 一 下 
文件 中 的 内 容 行 数 。 


[root@linuxprobe ~]# wc -1 < readme.txt 
2 











令 实际 上 等 同 于 接 下 来 要 学 习 的 cat readme.txt | we -] 的 管道 








3.2 PIAS Ht 


细心 的 读者 肯定 还 记得 在 2.6 节 学 习 tr 命 令 时 曾经 见 到 过 一 
个 名 为 管道 符 的 东西 。 同 时 按 下 键盘 上 的 Shift\ 键 即 可 输入 管 
道行 ， 其 执行 格式 为 “命令 A | 命令 B”。 命 令 符 的 作用 也 可 以 用 
一 句 话 来 概括 “把 前 一 个 命令 原本 要 输出 到 屏幕 的 数据 当 作 十 
后 一 个 命令 的 标准 输入 ”。 在 2.8 节 讲解 grep 文 本 搜索 命令 时 ， 
我 们 通过 匹配 关键 词 /sbin/nologin 找 出 了 所 有 被 限制 登录 系统 
的 用 户 。 在 学 完 本 节 内 容 后 ， 完 全 可 以 把 下 面 这 两 条 命令 合 3 
AR: 














e 找 出 被 限制 登录 用 户 的 命令 是 grep "/sbin/nologin" 
/etc/passwd; 
e 统计 文本 行 数 的 命令 则 是 wc -lo 





现在 要 做 的 束 是 把 搜索 命令 的 输出 值 传递 给 统计 命令 ， 即 
把 原本 要 输出 到 屏幕 的 用 户 信 息 列 表 再 交 给 wc 命令 作 进一步 
的 加 工 ， 因 此 只 需要 把 管道 符 放 到 两 条 命令 之 间 即 可 ， 具 体 如 
下 。 这 简 卫 是 太 方 便 了 ! 











[root@linuxprobe ~]# grep "/sbin/nologin" /etc/passwd | 
wc -l 
33 


SIE AT MR “NEE, BAM DK EEH BAA I] 
上 ， 比 如 用 翻 页 的 形式 碍 看 /etc 目 录 中 的 文件 列表 及 属 
信息 《〈 这 些 内 容 默 认 会 一 股 脑 儿 地 显示 到 屏幕 上 ， 根 本 看 不 


心 讽 





~ 


[root@linuxprobe ~]# 1s -1 /etc/ | more 

total 1400 

drwxr-xr-x. root root Jul 10 : abrt 
-rw-nr--nr--. root root Jul 10 : adjtime 
-rWw-nr--nr--. root root Jun 7 aliases 
-rWw-nr--nr--. root root Jul 10 : aliases.d 
b 

drwxr-xr-x. root root Jul 10 : alsa 
drwxr-xr-x. root root Jul 10 : alternati 


root root Jan 28 anacronta 


-rw-r--r--. root root Jan 29 asound. co 
nf 

-Pw-nP--n--. root root Jan 29 at.deny 
drwxr-xr-x. root root Jul 10 : at-spi2 
drwxr-x---. root root Jul 10 : audisp 
drwxr-x---. root root Jul 10 i audit 
drwxr-xr-x. root root Jul 10 : avahi 

- -More-- 





在 修改 用 户 密码 时 ， 通 第 都 需要 输入 两 次 密码 以 进行 确 
认 ， 这 在 编写 自动 化 脚本 时 将 成 为 一 个 非常 致命 的 缺陷 。 通 过 
把 管道 符 和 passwd 命 令 的 --stdin 参 数 相 结合 ， 我 们 可 以 用 一 条 
命令 来 完成 密码 重 置 操作 : 














[root@linuxprobe ~]# echo "linuxprobe" | passwd --stdin 
root 


Changing password for user root. 
passwd: all authentication tokens updated successfully. 


























RAEN Fe bes LTT a A ER? 管道 符 的 玩法 
还 有 很 多 ， 比 如 ， 在 发 送 电子 邮件 时 ， 默 认 采 用 交互 式 的 方式 
来 进行 ， 我 们 完全 可 以 利用 一 条 结合 了 管道 符 的 命令 语句 ， 把 
编辑 好 的 内 容 与 标题 一 起 “打包 ”， 最 终 用 这 一 条 命令 实现 邮件 
的 发 送 。 











[root@linuxprobe ~]# echo "Content" | mail -s "Subject" 
linuxprobe 

[root@linuxprobe ~]# su - linuxprobe 

Last login: Fri Jul 10 09:44:07 CST 2017 on :6 


[linuxprobeQlinuxprobe ~]$ mail 

Heirloom Mail version 12.5 7/5/10. Type ? for help. 
"/var/spool/mail/linuxprobe": 1 message 1 new 

»N 1 root Sun Aug 30 17:33 18/578 "Subject" 





如 朱 读 者 是 一 名 Linux 新 手 ， 可 能 会 党 得 上 面 的 命令 组 合 
己 经 十 分 复杂 了 ， 但 是 有 过 运 维 经 验 的 读者 又 会 感 党 如 隔 就 挠 
痒 般 不 过 并 ， 他 们 希望 能 将 这 样 方便 的 命令 写 得 更 局 级 一 些 ， 
功能 更 强大 一 些 。 比 如 通过 重 定 癌 技术 能 够 一 次 性 地 把 多 行 信 
姑 打 包 输 入 或 输出 ， 让 日 常 工作 更 有 效 京 。 为 了 大 家 对 我 们 这 
本 书 的 捧场 ， 刘 遂 老 师 当然 要 义不容辞 地 把 技术 拱手 奉 上 。 
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定 癌 的 分 界 符 ， 其 目的 是 让 用 户 一 直 输 入 内 容 ， 直 到 用 户 输入 
了 其 目 定义 的 分 界 符 时 ， 才 结束 输入 。 








[root@linuxprobe ~]# mail -s "Readme" root@linuxprobe.c 
om << over 
> I think linux is very practical 


> I hope to learn more 
> can you teach me ? 

> over 
[root@linuxprobe ~]# 











当然 ， 大 家 干 万 不 要 误 以 为 管道 命 4 
合 中 使 用 一 次 ， 我 们 完全 可 以 这 样 使 用 : “命令 A| 命令 B| 命令 
C"。 为 了 帮助 读者 进一步 理解 管道 符 的 作用 ， 刘 遂 老 师 在 讲 谍 
时 经 癌 会 把 管道 符 描 述 成 “任意 门 ”。 想 必 大 家 小 时 候 都 看 
过 “ 哆 啦 A 梦 ?动画 片 吧 。 哆 啦 A 梦 《也 就 是 我 们 利 称 的 机 器 
Wi) 经 常 为 了 取悦 大 雄 而 从 口袋 中 掏 出 一 件 件 宝贝 ,其 中 好 多 
次 就 用 到 了 任意 门 这 个 道具 。 其 实 ， 管 道 符 就 好 像 是 用 于 实现 
数据 穿越 的 任意 门 ， 可 以 帮 我 们 提高 工作 效率 ， 完 成 之 前 不 敢 
想象 的 复杂 工作 。 
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3.3 ”命令 行 的 通配符 





大 家 可 能 都 遇 到 过 提 笔 筷 字 的 尴 众 ， 作 为 Linux 运 维 人 
员 ， 我 们 有 时 候 也 会 过 到 明明 一 个 文件 的 名 称 就 在 嘴 边 但 就 古 
想 不 起 来 的 情况 。 如 末 束 记得 一 个 文件 的 开头 几 个 字母 ， 想 所 
历 碍 找 出 所 有 以 这 个 关键 词 开 头 的 文件 ， 该 怎么 操作 呢 ? 又 比 
如 ， 假 设想 要 批量 碍 看 所 有 硬盘 文件 的 相关 权限 属性 ， 一 种 方 
式 是 这 样 的 : 








[root@linuxprobe ~]# ls -1 /dev/sda 

brw-rw----. 1 root disk 8, 0 May 4 15:55 /dev/sda 
[root@linuxprobe ~]# ls -1 /dev/sda1 

brw-rw----. 1 root disk 8, 1 May 4 15:55 /dev/sda1 


[root@linuxprobe ~]# ls -1 /dev/sda2 

brw-rw----. 1 root disk 8, 2 May 4 15:55 /dev/sda2 
[root@linuxprobe ~]# ls -1 /dev/sda3 

ls: cannot access /dev/sda3: No such file or directory 
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效率 确实 很 低 。 虽 然 我 们 在 第 6 章 才 会 讲解 Linux 系 统 的 存储 结 
构 和 FHS， 但 现在 我 们 应 该 能 看 出 一 些 简单 规律 了 。 比 如 ， 这 
些 便 盘 设备 文件 都 是 以 sda 开 头 并 且 存 放 到 了 /dev 目 录 中 ， 这 样 
一 来 ， 即 使 我 们 不 知道 硬盘 的 分 区 编号 和 具体 分 区 的 个 数 ， 也 
可 以 使 用 通配符 来 搞定 。 顾 名 思 义 ， 通 配 符 就 是 通用 的 匹配 信 











BINS, ES CO 代表 匹配 零 个 或 多 个 字符 ， 问 号 
C 代表 匹配 单个 字符 ， 中 括号 内 加 上 数字 [0-9] 代 表 匹 配 0 一 
9 之 间 的 单个 数字 的 字符 ， 而 中 括号 内 加 上 字母 [abc] 则 是 代表 
匹配 a、b、c 三 个 字符 中 的 任意 一 个 字符 。 俗 话 讲 * 百 闻 不 如 一 
见 ， 看 书 不 如 实验 ”， 下 面 我 们 束 来 匹配 所 有 在 /dev 目 录 中 且 
以 sda 开 头 的 文件 : 





[root@linuxprobe ~]# ls -1 /dev/sda* 
brw-rw----. 1 root disk 8, 0 May 4 15:55 /dev/sda 


brw-rw----. 1 root disk 8, 1 May 4 15:55 /dev/sda1 
brw-rw----. 1 root disk 8, 2 May 4 15:55 /dev/sda2 











OR HAB SUEXEAZsdaJF3k. (Bea B Xe EX ERR C 
一 个 字符 的 文件 的 相关 信息 ， 该 怎么 操作 呢 ? 这 时 就 需要 用 到 
问号 来 进行 通 配 了 。 





[root@linuxprobe ~]# ls -1 /dev/sda? 
brw-rw----. 1 root disk 8, 1 May 4 15:55 /dev/sda1 





brw-rw----. 1 root disk 8, 2 May 4 15:55 /dev/sda2 


除了 使 用 [0-9] 来 匹配 0~9 之 间 的 单个 数字 ， 也 可 以 用 [135] 
这 样 的 方式 仅 匹 配 这 三 个 指定 数字 中 的 一 个 ， 若 没有 匹配 到 ， 











[root@linuxprobe ~]# ls -1 /dev/sda[6-9] 
brw-rw----. 1 root disk 8, 1 May 4 15:55 /dev/sda1 
brw-rw----. 1 root disk 8, 2 May 4 15:55 /dev/sda2 


[root@linuxprobe ~]# ls -1 /dev/sda[135] 
brw-rw----. 1 root disk 8, 1 May 4 15:55 /dev/sda1 





3.4 ”第 用 的 转 义 字符 





为 了 能 够 更 好 地 理解 用 户 的 表达 ，Shell 解 释 器 还 提供 了 特 
别 丰 富 的 转 义 字符 来 处 理 输入 的 特殊 数据 。 刘 遂 老 师 以 近 十 年 
IPFA VI Aza, Dice AA Sa Jed ES T8] Pe OT 
提炼 出 了 4 个 最 党 用 的 转 义 字符 ! 这 件 事情 也 让 我 深刻 反省 了 
很 长 时 间 。 原 本 认为 图 书写 的 越 厚 ， 作 者 越 是 大 牛 ， 现 在 友 现 
这 种 观念 完全 是 错误 的 ， 和 希望 读者 在 读 完 本 书后 能 体会 到 刘 遂 
老师 的 用 心 付 出 。 











4 个 最 第 用 的 转 义 字符 如 下 所 示 。 


e RAL O) : 使 反 斜 杠 后 面 的 一 个 变量 变 为 单纯 的 字符 
AB 

。 单 引号 〈") : 转 义 其 中 所 有 的 变量 为 单纯 的 字符 串 。 

。 双 引号 〈") : 保留 其 中 的 变量 属性 ， 不 进行 转 义 处 理 。 

RIS CO): 把 其 中 的 命令 执行 后 返回 结果 。 





我 们 先 定义 一 个 名 为 PRICE 的 变量 并 赋值 为 59， 然后 输出 
以 双 引 号 括 起 来 的 字符 串 与 变量 信息 : 





[root@linuxprobe ~]# PRICE=5 


[root@linuxprobe ~]# echo "Price is $PRICE" 
Price is 5 





接 下 来 ， 我 们 希望 能 够 输出 “Price is $5”， 即 价格 是 5 美元 
的 字符 串 内 容 ， 但 碰巧 美元 符号 与 变量 提取 符 写 合并 后 的 $$ 作 
用 是 显示 当前 程序 的 进程 ID 写 码 ， 于 是 命令 执行 后 输出 的 内 容 
并 不 是 我 们 所 预期 的 : 


[root@linuxprobe ~]# echo "Price is $$PRICE" 
Price is 3767PRICE 


要 想 让 第 一 个 “$" 乖 于 地 作为 美元 符号 ， 那 么 现 需 要 使 用 
BURHEL. CO. 来 进行 转 义 ， 将 这 个 命令 提取 符 转 义 成 单纯 的 文 
本 ， 去 除 其 特殊 功能 。 


[root@linuxprobe ~]# echo "Price is \$$PRICE" 
Price is $5 


而 如 果 只 需要 某 个 命令 的 输出 值 时 ， 可 以 像 命令 这 样 ， 将 
命令 用 反 引 号 括 起 来 ， 达 到 预期 的 效果 。 例 如 ， 将 反 引 号 与 
uname -a 命令 结合 ， 然 后 使 用 echo 命 令 来 查看 本 机 的 Linux 版 本 
和 内 核 信 息 : 
































[root@linuxprobe ~]# echo “uname -a` 
Linux linuxprobe.com 3.10.0-123.e17.x86 64 #1 SMP Mon M 


ay 5 11:16:57 EDT 2017 
X86 64 x86 64 x86 64 GNU/Linux 





3.5 重要 的 环境 变量 





变量 是 计算 机 系统 用 于 保存 可 变 值 的 数据 类 型 。 在 Linux 
系统 中 ， 变 量 名 称 一 般 都 是 大 写 的 ， 这 是 一 种 约定 俗 成 的 规 
范 。 我 们 可 以 直接 通过 变量 名 称 来 提取 到 对 应 的 变量 值 。 
Linux 系 统 中 的 环境 变量 是 用 来 定义 系统 运行 环境 的 一 些 参 
数 ， 比 如 每 个 用 户 不 同 的 家 目录 、 邮 件 存 放 位 置 等 。 























细心 的 读者 应 该 友 现 了 ， 本 市 和 上 一 节 的 标题 名 都 分 别 加 
了 形容 词 一 一 重要 的 、 常 见 的 。 原 因 其 实 不 言 而 喻 一 一 要 想 让 
Linux 系 统 能 够 正常 运行 并 且 为 用 户 提 供 服务 ， 需 要 数 百 个 坏 
境 变 量 来 协同 工作 ， 我 们 没有 必要 逐一 查看 、 学 习 每 一 个 变 
量 ， 而 是 应 该 在 有 限 的 篇 幅 中 精 讲 最 重要 的 内 容 。 














为 了 通过 环境 变量 帮助 Linux 系 统 构 建 起 能 够 为 用 户 提供 
服务 的 工作 运行 环境 ， 和 需要 数 百 个 变量 协同 工作 才能 完成 。 您 
当然 没有 必要 去 把 每 一 个 变量 都 看 一 和 过， 而 应 该 在 最 宝贵 的 书 
籍 中 为 读者 精 讲 最 重要 的 内 容 。 为 了 更 好 地 帮助 大 家 理解 变量 
的 作用 ， 刘 毅 老 师 给 大 家 举 个 例子 。 前 文中 曾经 讲 到 ， 在 
Linux 系 统 中 一 切 都 是 文件 ，Linux 命 令 也 不 人 例外。 那么， 在 用 
户 执行 了 一 条 命令 之 后 ，Linux 系 统 中 到 底 发 生 了 什么 事情 
We? 简单 来 说 ， 命 令 在 Linux 中 的 执行 分 为 4 个 步骤 。 

















第 1 步 : 判断 用 户 是 否 以 绝对 路 径 或 相对 路 径 的 方式 输入 
命令 〈 如 /binls) ， 如 果 是 的 话 则 直接 执行 。 





第 2 步 : Linux 系 统 检查 用 户 输 入 的 命令 是 否 为 “别名 命 
令 ”， 即 用 一 个 自 定 义 的 命令 名 称 来 蔡 换 原本 的 命令 名 称 。 可 
以 用 alias 命 令 来 创建 一 个 属于 自己 的 命令 别名 ， 格 式 为 “alias 
别名 = 命令 ”?。 硅 要 取消 一 个 命令 别名 ， 则 是 用 unalias 命 令 ， 格 
式 为 “unalias 别名 ”。 我 们 之 前 在 使 用 rm 命令 删除 文件 时 ， 
Linux 系 统 都 会 要 求 我 们 再 确认 是 否 执行 删除 操作 ， 其 实 这 就 
是 Linux 系 统 为 了 防止 用 户 误 删除 文件 而 特意 设置 的 rm 别名 命 
令 ， 接 下 来 我 们 把 它 取 消 掉 : 





[root@linuxprobe ~]# ls 

anaconda-ks.cfg Documents initial-setup-ks.cfg Pictures 
Templates 

Desktop Downloads Music Public Videos 

[root@linuxprobe ~]# rm anaconda-ks.cfg 


rm: remove regular file ‘anaconda-ks.cfg’? y 
[root@linuxprobe~]|# alias rm 

alias rm='rm -i' 

[root@linuxprobe ~]# unalias rm 
[root@linuxprobe ~]# rm initial-setup-ks.cfg 
[root@linuxprobe ~]# 








BH: Bashk ae Ur FH Ae A n Ss P D 
命令 。 内 部 命令 是 解释 器 内 部 的 指令 ， 会 被 直接 执行 ， 而 用 户 
在 绝 大 部 分 时 间 输 入 的 是 外 部 命令 ， 这 些 命 令 交 由 步骤 4 继续 








处 理 。 可 以 使 用 “type 命 令 名 称 ” 来 判断 用 户 输入 的 命令 是 内 部 


命令 还 是 外 部 命令 。 


第 4 步 : 系统 在 多 个 路 径 中 查找 用 户 输入 的 命令 文件 ， 而 
定义 这 些 路 径 的 变量 叫 作 PATH， 可 以 简单 地 把 它 理解 成 是 “ 解 
释 器 的 小 助手 ">， 作 用 是 告诉 Bash 解 释 器 待 执行 的 命令 可 能 存 
放 的 位 置 ， 然 后 Bash 解 释 器 就 会 冬 乖 地 在 这 些 位 置 中 逐个 碍 
找 。PATH 是 由 多 个 路 径 值 组 成 的 变量 ， 每 个 路 径 值 之 间 用 冒 
号 间隔 ， 对 这 些 路 径 的 增加 和 删除 操作 将 影响 到 Bash 解 释 器 对 
Linux 命 令 的 查找 。 














[root@linuxprobe ~]# echo $PATH 
/usr/local/bin:/usr/local/sbin:/usr/bin:/usr/sbin:/bin: 
/ sbin 


[root@linuxprobe ~]# PATH=$PATH: /root/bin 
/usr/local/bin:/usr/local/sbin:/usr/bin:/usr/sbin:/bin: 
/ sbin:/root/bin 





这 里 有 比较 经 典 的 问题 : “为 什么 不 能 将 当前 目录 〈.) AS 
加 到 PATH 中 呢 ? ”原因 是 ， 尽 管 可 以 将 当前 目录 CO 添加 到 
PATH 变量 中 ， 从 而 在 茶 些 情况 下 可 以 让 用 户 免 去 输入 命令 所 
在 路 径 的 抹 烦 。 但 是 ， 如 果 黑 客 在 比较 常用 的 公共 目录 /tmp 中 
存放 了 一 个 与 ls 或 cd 命令 同名 的 木 号 文件 ， 而 用 户 义 恰巧 在 公 
共 目 录 中 执行 了 这 些 命令 ， 那 么 束 极 有 可 能 中 招 了 。 














所 以 ， 作 为 一 名 态度 齐 导 、 有 经 验 的 运 维 人 员 ， 在 接手 了 





一 台 Linux 系 统 后 一 定 会 在 执行 命 d d i 
有 可 疑 的 目录 ， 男 外 读者 从 ne 中 是 否 也 感 
觉 到 环境 变量 特别 有 用 呢 。 我 们 可 以 使 用 env 命 令 Acc 
Linux 系 统 中 所 有 的 环境 变量 ， 而 刘 遂 老师 为 您 精 挑 细 选 出 了 
最 重要 的 10 个 环境 变量 ， 如 表 3-3 所 示 。 

















3-3 Linux 系 统 中 最 重要 的 10 个 环境 变量 


用 户 的 主 目录 《〈 即 家 目录 ) 


用 户 在 使 用 的 Shell 解 释 器 名 称 


输出 的 历史 命令 记录 条 数 


保存 的 历史 命令 记录 条 


邮件 保存 路 径 
系统 语言 、 语 系 名 称 


RANDOM 生成 一 个 随机 数字 





ere 


Po es — 
Res ee 


Linux 作 为 一 个 多 用 户 多 任务 的 操作 系统 ， 能 够 为 每 个 用 
户 提供 独立 的 、 合 适 的 工作 运行 环境 ， 因 此 ， 一 个 相同 的 变量 
会 因为 用 户 映 份 的 不 同 而 具有 不 同 的 值 。 例 如 ， 我 们 使 用 下 述 
命令 来 查看 HOME 变 量 在 不 同 用 户 身 份 下 都 有 哪些 值 (su 是 用 
于 切换 用 户 吴 份 的 命令 ， 将 在 第 5 章 跟 大 家 见面 ) : 




















[root@linuxprobe ~]# echo $HOME 
/root 
[root@linuxprobe ~]# su - linuxprobe 


Last login: Fri Feb 27 19:49:57 CST 2017 on pts/@ 
[linuxprobeQlinuxprobe ~]$ echo $HOME 
/home/linuxprobe 

















其 实 变量 是 由 固定 的 变量 名 与 用 户 或 系统 设置 的 变量 值 两 
部 分 组 成 的 ， 我 们 完全 可 以 自行 创建 变量 ， 来 满足 工作 需求 。 
例如 设置 一 个 名 称 为 WORKDIR 的 变量 ， 方 便 用 户 更 轻松 地 进 
入 一 个 层次 较 深 的 目录 : 





[root@linuxprobe ~]# mkdir /home/workdir 
[root@linuxprobe ~]# WORKDIR=/home/workdir 
[root@linuxprobe ~]# cd $WORKDIR 


[root@linuxprobe workdir]# pwd 
/home/workdir 








但 是 ， 这 样 的 变量 不 具有 全 局 性 ， 作 用 范围 也 有 限 ， 黑 认 
情况 下 不 能 补 其 他 用 户 使 用 。 如 果 工 作 需 要 ， 可 以 使 用 export 
命令 将 其 提升 为 全 局 变量 ， 这 样 其 他 用 户 也 就 可 以 使 用 它 了 : 








[root@linuxprobe workdir]# su linuxprobe 

Last login: Fri Mar 20 20:52:10 CST 2017 on pts/0 
[linuxprobe@linuxprobe ~]$ cd $WORKDIR 

[ linuxprobe@linuxprobe ~]$ echo $WORKDIR 
[linuxprobeQlinuxprobe ~]$ exit 

[root@linuxprobe ~]# export WORKDIR 


[root@linuxprobe workdir]# su linuxprobe 

Last login: Fri Mar 20 21:52:10 CST 2017 on pts/0 
[linuxprobeQlinuxprobe ~]$ cd $WORKDIR 
[linuxprobeQlinuxprobe workdir ]$pwd 

/home/workdir 











1. 把 ls 命令 的 正常 输出 信息 追加 写 入 到 error.txt 文 件 中 的 


合 : Is >> error.txt 
2. 请 简单 概述 管道 符 的 作用 。 


答 : 把 左面 (前面) 命令 的 输出 值 作为 右面 《后 面 ) 命令 
的 输入 值 以 便 进 一 步 处 理 信息 。 


3. Bash 解 释 器 的 通配符 中 ， 星 号 〈*) 代表 几 个 字符 ? 
A: 零 个 或 多 个 。 

4. PATH 变量 的 作用 是 什么 ? 

A: 设 定 解释 器 搜索 所 执行 的 命令 的 路 径 。 


5. 使 用 什么 命令 可 以 把 名 为 LINUX 的 一 般 变 量 转换 成 全 
局 变量 ? 


答 : export LINUX. 


第 4 章 “Vim 编 辑 器 与 Shell 命 令 脚本 







Vim 文 本 编辑 器 ; 
。 流程 控制 语句 ; 


计划 任务 服务 程序 。 









本 章 首 先 讲解 如 何 使 用 Vim 编 辑 器 来 编写 、 修 改 文 要 ， 然 
后 通过 逐个 配置 主机 名 称 、 系 统 网 卡 以 及 Yum 软 件 仓库 参数 文 
件 等 实验 ， 帮 助 读者 加 深 Vim 编 辑 咒 中 诸多 命令 、 快 捷 键 、 模 





式 切换 方法 的 理解 。 然 后 把 前 面 章节 中 讲解 的 Linux 命 令 、 命 
令 语法 与 Shell 脚 本 中 的 各 种 流程 控制 语句 通过 Vim 编 辑 占 写 到 
Shell 脚 本 中 结合 到 一 起 ， 实 现 最 终 能 够 自动 化 工作 的 脚本 文 

件 。 本 章 最 后 演示 了 怎样 通过 at 命 令 与 crond 计 划 任 务 服务 来 分 
别 实现 一 次 性 的 系统 任务 设置 和 长 期 性 的 系统 任务 设置 ， 从 而 
让 日 第 的 工作 更 加 高 效 ， 更 自动 化 。 








41 Vim 文 本 编辑 器 


每 当 在 讲课 时 直到 需要 让 学 生 记 住 的 知识 点 时 ， 为 了 能 让 
他 们 打 起 精神 来 ， 我 都 会 突然 提高 嗓门 ， 因 此 有 名 话 他 们 记得 
尤其 深刻 :“ 在 Linux 系 统 中 一 切 都 是 文件 ， 而 配置 一 个 服务 就 
是 在 修改 其 配置 文件 的 参数 ”"。 而 且 在 日 党 工作 中 大 家 也 肯定 
倪 不 了 要 编写 文档 ， 这 些 工 作 都 是 通过 文本 编辑 器 来 完成 的 。 
刘 六 老师 写作 本 书 的 目的 是 让 读者 切实 掌握 Linux 系 统 的 运 维 
方法 ， 而 不 是 仅仅 停留 在 “会 用 某 个 操作 系统 ”的 层面 上 ， 上 所 以 
我 们 这 里 选择 使 用 Vim 文 本 编辑 器 ， 它 默认 会 安装 在 当前 所 有 
的 Linux 操 作 系 统 上 ， 是 一 球 超 棱 的 文本 编辑 器 。 
































Vim 之 所 以 能 得 到 广大 三 和 障 与 用 户 的 认可 ， 原 因 在 于 Vim 
编辑 器 中 设置 了 三 种 模式 一 一 命令 模式 、 末 行 模式 和 编辑 模 
式 ， 每 种 模式 分 别 又 支持 多 种 不 同 的 命令 快捷 键 ， 这 大 大 提高 
了 工作 效率 ， 而 且 用 户 在 习惯 之 后 也 会 觉得 相当 顺手 。 要 想 高 
效率 地 操作 文本 ， 就 必须 先 搞 清 这 三 种 模式 的 操作 区 别 以 及 模 
式 之 间 的 切换 方法 ( 见 图 4-1)。 




















e 命令 模式 : 控制 光标 移动 ， 可 对 文本 进行 复制 、 粘 贴 、 删 
除 和 查找 等 工作 。 
。 输 入 模式 ， 正常 的 文本 录入 。 





e RITEN: 保存 或 退出 文档 ， 以 及 设置 编辑 坏 境 。 





O MR O) 未 和 模式 | 
图 4-1 _ Vim 编辑 器 模式 的 切换 方法 


在 每 次 运行 Vim 编 辑 器 时 ， 默 认 进 入 命令 模式 ， 此 时 需要 
先 切换 到 输入 模式 后 再 进行 文档 编写 工作 ， 而 每 次 在 编写 完 文 
档 后 需要 先 返 回 命令 模式 ， 然 后 再 进入 末 行 模式 ， 执 行文 档 的 
保存 或 退出 操作 。 在 Vim 中 ， 无 法 直接 从 输入 模式 切换 到 末 行 
模式 。Vim 编 辑 器 中 内 置 的 命令 有 成 百 上 干 种 用 法 ， 为 了 能 够 
帮助 读者 更 快 地 掌握 Vim 编 辑 器 ， 表 4-1 总 结 了 在 命令 模式 中 最 


常用 的 一 些 命令 。 


表 4-1 — Vim 中 常用 的 命令 

















dd — MRR CIH 光标 所 在 整 行 


WIES CIH Aen She ARIST 


复制 光标 所 在 整 行 


复制 从 光标 处 开始 的 5 行 


显示 搜索 命令 定位 到 的 下 一 个 字符 串 











末 行 模式 主要 用 于 保存 或 退出 文件 ， 以 及 设置 Vim 编 辑 器 
的 工作 环境 ， 还 可 以 让 用 户 执行 外 部 的 Linux 命 令 或 跳 转 到 所 
编写 文档 的 特定 行 数 。 要 想 切 换 到 末 行 模式 ， 在 命令 模式 中 输 
入 一 个 冒号 束 可 以 了 。 末 行 模式 中 可 用 的 命令 如 表 4-2 所 示 。 


表 4-2 来 行人 模式 中 可 用 的 命令 





3 
“> 


作用 


跳 转 到 该 行 


将 当前 光标 所 在 行 的 第 一 个 one 蔡 换 成 two 
将 当前 光标 所 在 行 的 所 有 one 符 换 成 two 


:%s/one/two/g 将 全 文中 的 所 有 one 蔡 换 成 two 








?字符 串 在 文本 中 从 下 至 上 搜索 该 字符 串 








在 文本 中 从 上 至 下 搜索 该 字符 串 





4.1.1 编写 简单 文档 


目前 为 止 ， 大 家 已 经 具备 了 在 Linux 系 统 中 编写 文档 的 理 
论 基 础 了 ， 接 下 来 我 们 一 起 动手 编写 一 个 简单 的 脚本 文档 。 刘 
遗 老师 会 义 力 把 所 有 操作 步骤 和 按键 过 程 都 标注 出 来 ， 如 果 瑟 
记 了 东 些 快捷 键 命令 的 作用 ， 可 以 再 返回 前 文 进行 复习 。 














编写 脚本 文档 的 第 1 步 就 是 给 文档 取 个 名 字 ， 这 里 将 其 命 
名 为 practice.txt。 如 果 存 着 该 文档 ， 则 是 打开 它 。 如 果 不 存 
在 ， 则 是 创建 一 个 临时 的 输入 文件 ， 如 图 4-2 所 示 。 


root@linuxprobe:~/Desktop 
File Edit View Search Terminal Help 
[root@Linuxprobe Desktop]# vim practice.txt 


图 4-2 ”尝试 编写 脚本 文档 


打开 practice.txt 文 档 后 ， 默 认 进 入 的 是 Vim 编 辑 器 的 命令 
模式 。 此 时 只 能 执行 该 模式 下 的 命令 ， 而 不 能 随意 输入 文本 内 
容 ， 我 们 需要 切换 到 输入 模式 才 可 以 编写 文档 。 


在 图 4-1 中 提 到 ， 可 以 分 别 使 用 a、i、o 三 个 键 从 命令 模式 
切换 到 输入 模式 。 其 中 ，a 键 与 键 分 别 是 在 光标 后 面 一 位 和 光 
标 当 前 位 置 切换 到 和 输入 模式 ， 而 o 键 则 是 在 光标 的 下 面 再 创建 
一 个 空 行 ， 此 时 可 茸 击 a 键 进入 到 编辑 器 的 输入 模式 ， 如 图 4-3 
所 示 。 





REATARD, ASWAL, Vimini SA 
会 把 您 输入 的 文本 内 容 当 作 命 令 而 执行 ， 如 图 4-4 所 示 。 


r 


root@linuxprobe:~/Desktop -~ | 日 |x 


File Edit View Search Terminal Help 


区 INSERT -- 0,1 All | 


图 4-3 ”切换 至 编辑 占 的 输入 模式 








root@linuxprobe:~/Desktop 


File Edit View Search Terminal Help 
You can write in it. 


-- INSERT -- 


T1321 


图 4-4 ”在 编辑 器 中 输入 文本 内 容 


ALL 


root@linuxprobe:~/Desktop 


File Edit View Search Terminal Help 
You can write in it. 


1,20 ALL 
图 4-5 ”Vim 编辑 器 的 命令 模式 
在 编写 完 之 后 ， 想 要 保存 并 退出 ， 必 须 先 敲 击 键 盘 Esc 键 


从 输入 模式 返回 命令 模式 ， 如 图 4-5 所 示 。 然 后 再 输入 :wd! 切 
换 到 末 行 模式 才能 完成 保存 退出 操作 ， 如 图 4-6 所 示 。 








r- 


root@linuxprobe:~/Desktop SSN ju 5 al l| 


File Edit View Search Terminal Help 
You can write in it. 


wq! 





图 4-6 Vim 编辑 器 的 末 行 模式 


当 在 末 行 模式 中 输入 :wq! 命 令 时 ， 束 意 味 看 强制 保存 并 退 
出 文档 。 然 后 便 可 以 用 cat 命 令 碍 看 保存 后 的 文档 内 容 了 ， 如 
图 4-7 所 示 。 





root@linuxprobe:~/Desktop 


File Edit View Search Terminal Help 


[root@Linuxprobe Desktop]# vim practice.txt 
[root@Linuxprobe Desktop]# cat practice.txt 
You can write in it. 

[root@Linuxprobe Desktop]# 


图 4-7 查看 文档 的 内 容 


是 很 简单 ? ! 继续 编辑 这 个 文档 。 因 为 要 在 原 有 文本 
tba 昌 加 内 容 ， 所 以 在 命令 模式 中 敲 击 o 键 进入 输入 模 
式 更 会 高 效 ， 操 作 如 图 4-8、 图 4-9 与 图 4-10 所 示 。 











root@linuxprobe:~/Desktop 
File Edit View Search Terminal Help 


[root@Linuxprobe Desktop]# vim practice.txt 
[root@Linuxprobe Desktop]# cat practice.txt 
You can write in it. 


[root@Linuxprobe Desktop]# vim practice.txt 





图 4-8 ”再 次 通过 Vim 编 辑 器 编写 文档 








== INSERT -- 





root@linuxprobe:~/Desktop 


File Edit View Search Terminal Help 
You can write in it. 


21 


图 4-9 进入 Vim 编 辑 器 的 输入 模式 


ALL 


root@linuxprobe:~/Desktop 


File Edit View Search Terminal Help 
You can write in it. 
This SentencB| don't need to save 


2;13 ALL 
图 4-10 ”追加 写 入 一 行文 本 内 容 


因为 此 时 已 经 修改 了 文本 内 容 ， 所 以 Vim 编 辑 器 在 我 们 尝 
试 直接 退出 文档 而 不 保存 的 时 候 就 会 拒绝 我 们 的 操作 了 。 此 时 
只 能 强制 退出 才 可 以 结束 本 次 输入 操作 ， 如 图 4-11、 图 4-12 和 
图 4-13 所 示 。 








root@linuxprobe:~/Desktop |e at a 


File Edit View Search Terminal Help 


You can write in it. 
This Sentence don't need to save 





图 4-11 ”尝试 退出 文本 编辑 器 


root@linuxprobe:~/Desktop 


File Edit View Search Terminal Help 
You can write in it. 
This Sentence don't need to save 


ALL 








现在 大 家 也 算是 具有 了 一 些 Vim 编 辑 器 的 实战 经 验 了 ， 应 
该 也 感觉 没有 想象 中 那么 难 吧 。 现 在 查看 文本 的 内 容 ， 果 然 发 
现 退 加 输入 的 内 容 并 没有 被 保存 下 来 ， 如 图 4-14 ”所 示 。 





大 家 在 学 完了 理论 知识 之 后 又 目 己 动手 编写 了 一 个 文本 ， 
现在 是 否 感觉 成 束 满 满 呢 ? 接 下 来 将 会 由 浅 入 深 为 读者 安排 三 
个 小 任务 。 为 了 彻底 掌握 Vim 编 辑 吉 的 使 用 ， 大 家 一 定 要 逐个 
完成 不 许 偷 懒 ， 如 果 在 完成 这 三 个 任务 期 间 忘 记 了 相关 命令 ， 
可 人 返回 前 文 进一步 复习 掌握 。 











root@linuxprobe:~/Desktop 


File Edit View Search Terminal Help 


You can write in it. 
This Sentence don't need to save 


图 4-13 ”强制 退出 文本 编辑 器 


root@linuxprobe:~/Desktop - | 0 


File Edit View Search Terminal Help 
[root@Linuxprobe Desktop]# vim practice.txt 
[root@Linuxprobe Desktop]# cat practice.txt 
You can write in it. 

[root@Linuxprobe Desktop]# vim practice.txt 
[root@Linuxprobe Desktop]# cat practice.txt 
You can write in it. 

[root@Linuxprobe Desktop]# B 





4-14 ”查看 最 终 编 写成 的 文本 内 容 
4.1.2 ”配置 主机 名 称 


为 了 便于 在 局 域 网 中 查找 某 台 特定 的 主机 ， 或 者 对 主机 进 
行 区 分 ， 除 了 要 有 IP 地 址 外 ， 还 要 为 主机 配置 一 个 主机 名 ， 主 
机 之 间 可 以 通过 这 个 类 似 于 域名 的 名 称 来 相互 访问 。 在 Linux 
系统 中 ， 主 机 名 大 多 保存 在 /etc/hostname 文 件 中 ， 接 下 来 
将 /etc/hostname 文 件 的 内 容 修 改 为 inuxprobe.com”， 步 又 如 
Ie 

















第 1 步 : 使 用 Vim 编 辑 器 修改 “/etc/hostname” 主 机 名 称 文 


fF. 


第 2 步 : 把 原始 主机 名 称 删 除 后 退 加 ”linuxprobe.com”。 注 
意 ， 使 用 Vim 编 辑 器 修改 主机 名 称 文件 后 ， 要 在 末 行 模式 下 执 
行 :wq! 命 令 才 能 保存 并 退出 文档 。 





第 3 步 : 保存 并 退出 文档 ， 然 后 使 用 hostname 命 令 检查 是 
TIZA o 


[root@linuxprobe ~]# vim /etc/hostname 
linuxprobe.com 


hostname 命 令 用 于 查看 当前 的 主机 名 称 ， 但 有 时 主机 名 称 
的 改变 不 会 立即 同步 到 系统 中 ， 所 以 如 果 友 现 修 改 完成 后 还 显 
示 原 来 的 主机 名 称 ， 可 重启 虚拟 机 后 再 行 查 看 : 


[root@linuxprobe ~]# hostname 
linuxprobe.com 


413 配置 网 卡 信息 


网 卡 IP 地 址 配置 的 是 否 正确 是 两 台 服 务 器 是 否 可 以 相互 通 
信 的 前 提 。 在 Linux 系 统 中 ， 一 切 都 是 文件 ， 因 此 配置 网 络 服 
务 的 工作 其 实 就 是 在 编辑 网 卡 配 置 文件 ， 因 此 这 个 小 任务 不 仅 
可 以 帮助 您 练习 使 用 Vim 编 辑 器 ， 而 且 也 为 您 后 面 学 习 Linux 
中 的 各 种 服务 配置 打下 了 坚实 的 基础 。 当 您 认真 学 习 完 本 书 



































Ja, “ERA oats, AEP BU TREE A tl Boo HE FL 
实 ， 而 后 面 内 容 则 具有 几乎 一 致 的 网 卡 了 地 址 和 运行 环境 ， 从 
而 确保 您 全 身心 地 投入 到 各 关 服 务 程序 的 学 习 上 ， 而 不 用 操心 
系统 环境 的 问题 。 





如 果 您 具备 一 定 的 运 维 经 验 或 者 熟悉 早期 的 Linux 系 统 ， 
则 在 学 习 本 书 时 会 遇 到 一 些 不 容易 接受 的 差异 变化 。 在 RHEL 
5. RHEL 6 中 ， 网 卡 配 置 文件 的 前 级 为 eth， 第 1 块 网 卡 为 
eth0， 第 2 块 网 卡 为 eth1; 以 此 类 推 。 而 在 RHEL 7 中 ， 网 卡 配 
置 文件 的 前 缀 则 以 ifcfg 开 始 ， 加 上 网 卡 名 称 共同 组 成 了 网 卡 配 
置 文件 的 名 字 ， 例 如 ifcfg-eno16777736; 好 在 除了 文件 名 变化 
外 也 没有 其 他 大 的 区 别 。 

















现在 有 一 个 名 称 为 ifcfg-eno16777736 的 网 卡 设备 ， 我 们 将 
其 配置 为 开机 自 启 动 ， 并 且 IP 地 址 、 子 网 、 网 关 等 信息 由 人 工 
指定 ， 其 步骤 应 该 如 下 所 示 。 








"BED: 首先 切换 到 /etc/sysconfig/network-scripts 目 录 中 
(存放 着 网 卡 的 配置 文件 )。 





第 2 步 : 使 用 Vim 编 辑 器 修改 网 卡 文件 ifcfg-eno16777736， 
逐 项 写 入 下 面 的 配置 参数 并 保存 退出 。 由 于 每 台 设 备 的 便 件 及 
架构 是 不 一 样 的 ， 因 此 请 读者 使 用 ifconfig 命 令 自 行 确认 各 自 
网 卡 的 默认 名 称 。 








e 设备 类 型 : TYPE-Ethernet 

地 址 分 配 模式 : BOOTPROTO=static 
。 网 卡 名 称 : NAME=eno16777736 
OT 

。IP 地 址 : IPADDR=192.168.10.10 

e TAHI: NETMASK=255.255.255.0 
。 网 关 地 址 : GATEWAY=192.168.10.1 
。DNS 地 址 : DNS1=192.168.10.1 





第 3 步 : 重 局 网 络 服务 并 测试 网 络 是 否 联 通 。 


进入 到 网 卡 配置 文件 所 在 的 目录 ， 然 后 编辑 网 卡 配置 文 


件 ， 在 其 中 填 入 下 面 的 信息 : 


-> 


[root@linuxprobe ~]# cd /etc/sysconfig/network-scripts/ 
[root@linuxprobe network-scripts ]# vim ifcfg-eno1677773 
6 

TYPE=Ethernet 


BOOTPROTO=static 


NAMEzeno16777736 
ONBOOT=yes 
IPADDR-192.168.10.10 
NETMASK-255.255.255.0 
GATEWAY=192.168.10.1 
DNS1=192.168.10.1 














执行 重启 网 卡 设备 的 命令 《在 正常 情况 下 不 会 有 提示 信 


ERO ， 然 后 通过 ping 命 令 测试 网 络 能 人 否 联 通 。 由 于 在 Linux 系 
统 中 ping 命 令 不 会 目 动 终止 ， 因 此 需要 手动 按 下 Ctrl-c 键 来 强行 
结束 进程 。 


[root@linuxprobe network-scripts]# systemctl restart ne 
twork 

[root@linuxprobe network-scripts]# ping 192.168.10.10 
PING 192.168.10.10 (192.168.10.10) 56(84) bytes of data 


64 bytes from 192.168.10.10: icmp seq-1 ttl-64 time-0.0 
81 ms 
64 bytes from 192.168.10.10: icmp seq-2 ttl-64 time=0.0 
83 ms 


64 bytes from 192.168.10.10: icmp seq-3 ttl-64 time-0.0 
59 ms 
64 bytes from 192.168.10.10: icmp seq-4 ttl=64 time=0.0 
97 ms 


^C 

--- 192.168.10.10 ping statistics --- 

4 packets transmitted, 4 received, 0% packet loss, time 
2999ms 

rtt min/avg/max/mdev - 0.059/0.080/0.097/0.013 ms 





41.4 配置 Yum 软 件 仓库 


本 书 前 面 讲 到 ，Yum 软 件 仓 库 的 作用 是 为 了 进一步 简化 
RPM 管理 软件 的 难度 以 及 上 自动 分 析 所 需 软 件 包 及 其 依赖 关系 的 
技术 。 可 以 把 Yum 想 象 成 是 一 个 个 大 的 软件 仓库 ， 里 面 保存 有 
几乎 所 有 常用 的 工具 ， 而 且 只 需要 说 出 所 需 的 软件 包 名 称 ， 系 
统 束 会 自动 为 您 搞定 一 切 。 





既然 要 使 用 Yum 软 件 仓 库 ， 束 要 先 把 它 搭建 起 来 ， 然 后 将 
其 配置 规则 确定 好 才 行 。 鉴 于 第 6 章 才 会 讲解 Linux 的 存储 结构 
和 设备 挂 载 操 作 ， 所 以 我 们 当前 还 是 将 重心 放 到 Vim 编 辑 器 的 
学 习 上 。 如 果 遇 到 看 不 懂 的 参数 也 不 要 其 ， 后 面 章节 会 单独 讲 
解 。 拱 建 并 配置 Yum 软 件 仓库 的 大 致 步骤 如 下 所 示 。 














第 1 步 : 进入 到 /etc/yum.repos.d/ 目 录 中 (因为 该 日 录 存 放 
着 Yum 软 件 仓 库 的 配置 文件 )。 


第 2 步 : 使 用 Vim 编 辑 器 创建 一 个 名 为 rhel7.repo 的 新 配置 
文件 (文件 名 称 可 随意 ， 但 后 级 必须 为 .repo)〉 , AMSA PA 
加 粗 的 配置 参数 并 保存 退出 (不 要 写 后 面 的 中 文 注释 ) 。 





e [rhel-media] : Yum 软 件 仓库 唯一 标识 符 ， 避 免 与 其 他 仓 


FETE 
e name-linuxprobe: Yum 软 件 仓 库 的 名 称 描述 ， 吻 于 识别 
仓库 用 处 。 


baseurl=file:///media/cdrom: 提供 的 方式 包括 

FTP (ftp://..) ~ HTTP Chttp://..) ~ ASHE Cfile:///..) 。 
enabled-1: 设置 此 源 是 否 可 用 ; 1 为 可 用 ，0 为 禁 
gpgcheck-1: 设置 此 源 是 否 校 验 文件 ，1 为 校 验 ，0 为 不 校 
验 。 


gpgkey-file:///media/cdrom/RPM-GPG-KEY -redhat- 














release: Zi LI XU nS. BABE ACEH 
hk. 
第 3 步 : 按 配 置 参数 的 路 径 挂 载 光盘 ， 并 把 光盘 挂 载 信息 
写 入 到 /etcfstab 文 件 中 。 
第 4 步 : 使 用 “yum install httpd -y” 命 令 检 查 Yum 软 件 仓库 
是 否 已 经 可 用 。 





进入 /etc/yum.repos.d 目 录 中 后 创建 Yum 配 置 文 件 : 


[root@linuxprobe ~]# cd /etc/yum.repos.d/ 
[root@linuxprobe yum.repos.d]|# vim rhel7.repo 
[rhel7] 


name=rhel7 
baseurl=file:///media/cdrom 
enabled=1 

gpgcheck=0 





创建 挂 载 点 后 进行 挂 载 操作 ， 并 设置 成 开机 上 自动 挂 载 ( 详 
见 第 6 章 ) 。 笠 试 使 用 Yum 软 件 仓库 来 安装 Web 服 务 ， 出 现 
Complete! 则 代表 配置 正确 : 





[root@linuxprobe yum.repos.d]# mkdir -p /media/cdrom 
[root@linuxprobe yum.repos.d]# mount /dev/cdrom /media/ 
cdrom 

mount: /dev/sr is write-protected, mounting read-only 
[root@linuxprobe yum.repos.d]# vim /etc/fstab 
/dev/cdrom /media/cdrom iso9660 defaults 6 6 


[root@linuxprobe ~]# yum install httpd 

Loaded plugins: langpacks, product-id, subscription-man 
ager 

m 省 略 部 分 输出 信 sss 


Dependencies Resolved 


Installing: 

httpd x86 64 2.4.6-17.e17 rhel 1.2 M 
Installing for dependencies: 

apr x86 64 1.4.8-3.e17 rhel 103 k 
apr-util x86 64 1.5.2-6.e17 rhel 92 k 
httpd-tools x86 64 2.4.6-17.e17 rhel 77 k 
mailcap noarch 2.1.41-2.e17 rhel 31 k 
Transaction Summary 


Install 1 Package (+4 Dependent packages) 
Total download size: 1.5 M 

Installed size: 4.3 M 

Is this ok [y/d/N]: y 

Downloading packages: 


xu 4 WATR IDM HA =e 
Complete! 





4.2 ”编写 Shell 脚 本 


可 以 将 Shell 终 端 解释 占 当 作 人 与 计算 机 硬件 之 间 的 “翻译 
官 "?， 它 作为 用 户 与 Linux 系 统 内 部 的 通信 媒介 ， 除 了 能 够 文 持 
各 种 变量 与 参数 外 ， 还 提供 了 诸如 循环 、 分 文 等 高 级 编程 语言 
才 有 的 控制 结构 特性 。 要 想 正 确 使 用 Shell 中 的 这 些 功 能 特性 ， 
准确 下 达 命 令 尤为 重要 。Shell 脚 本 命令 的 工作 方式 有 两 种 : 交 
互 式 和 批 处 理 。 








e 交互 式 〈Interactive) : 用 户 每 输入 一 条 命令 就 立即 执行 。 
e。 批 处 理 〈Batch) : 由 用 户 事先 编写 好 一 个 完整 的 Shel] 脚 
本 ，Shell 会 一 次 性 执行 脚本 中 诸多 的 命令 。 








在 Shell 脚 本 中 不 仅 会 用 到 前 面 学 习 过 的 很 多 Linux 命 令 以 
及 正则 表达 式 、 管 道 符 、 数 据 流 重 定 同等 语法 规则 ， 还 需要 把 
内 部 功能 模块 化 后 通过 人 逻辑 语句 进行 处 理 ， 最 终 形成 日 党 所 见 
的 Shell 脚 本 。 





查看 SHELL 变 量 可 以 发 现 当前 系统 已 经 默认 使 用 Bash 作 为 
命令 行 终端 解释 器 了 : 


[root@linuxprobe ~]# echo $SHELL 
/bin/bash 


4.2.1 编写 简单 的 脚本 


估计 读者 在 看 完 上 文中 有 关 Shell 脚 本 的 复杂 描述 后 ， 会 累 
觉 不 爱 吧 。 但 是 ， 上 文 指 的 是 一 个 高 级 Shell 脚 本 的 编写 原则 ， 
其 实 使 用 Vim 编 辑 器 把 Linux 命 令 按照 顺序 依次 写 入 到 一 个 文 
件 中 ， 这 就 是 一 个 简单 的 脚本 了 。 














例如 ， 如 果 想 查看 当前 所 在 工作 路 径 并 列 出 当前 目录 下 所 
有 的 文件 及 属性 信息 ， 实 现 这 个 功能 的 脚本 应 该 类 似 于 下 面 这 
样 : 


[root@linuxprobe ~]# vim example.sh 
#!/bin/bash 


#For Example BY linuxprobe.com 





Shell 脚 本 文件 的 名 称 可 以 任意 ， 但 为 了 避免 被 误 以 为 是 普 
通 文 件 ， 建 议 将 .sh 后 级 加 上 ， 以 表示 是 一 个 脚本 文件 。 在 上 
面 的 这 个 example.sh 脚 本 中 实际 上 出 现 了 三 种 不 同 的 元 素 : 第 
一 行 的 脚本 声明 (#4〉 用 来 告诉 系统 使 用 哪 种 Shell 解 释 嚣 来 执 
行 该 脚本 ; 第 二 行 的 注释 信息 (#) 是 对 脚本 功能 和 某 些 命令 
的 介绍 信息 ， 使 得 自己 或 他 人 在 日 后 看 到 这 个 脚本 内 容 时 ， 可 
以 快速 知道 该 脚本 的 作用 或 一 些 警 告 信息 ; 第 三 、 四 行 的 可 执 
行 语句 也 就 是 我 们 平时 执行 的 Linux 命 令 了 。 什 么 ?1! 你 们 不 

















相信 这 么 简单 就 编写 出 来 了 一 个 脚本 程序 ， 那 我 们 来 执行 一 下 
看 看 结果 


[root@linuxprobe ~]# bash example.sh 
/root/Desktop 
total 8 


drwxr-xr-x. 2 root root 23 Jul 23 17:31. 
dr-xr-x---. 14 root root 4096 Jul 23 17:231 .. 
-rwxr--r--. 1 root root 55 Jul 23 17:31 example.sh 





除了 上 面 用 bash 解 释 器 命令 直接 运行 Shell 脚 本 文件 外 ， 第 
二 种 运行 脚本 程序 的 方法 是 通过 输入 完整 路 径 的 方式 来 执行 。 
但 默认 会 因为 权限 不 足 而 提示 报错 信息 ， 此 时 只 需要 为 脚本 文 
件 增 加 执行 权限 即 可 《〈 详 见 第 5 章 ) 。 初 次 学 习 Linux 系 统 的 读 
者 不 用 心急 ， 等 下 一 章 学 完 用 户 号 份 和 权限 后 再 来 做 这 个 实验 
也 不 述 : 





























[root@linuxprobe ~]# ./example.sh 

bash: ./Example.sh: Permission denied 
[root@linuxprobe ~]# chmod u+x example.sh 
[root@linuxprobe ~]# ./example.sh 
/root/Desktop 


total 8 

drwxr-xr-x. 2 root root 23 Jul 23 17:231. 
dr-xr-x---. 14 root root 4096 Jul 23 17:31 .. 
-rwxr--r--. 1 root root 55 Jul 23 17:31 example.sh 





4.2.2 ”接收 用 户 的 参数 


但 是 ， 像 上 面 这 样 的 脚本 程序 只 能 执行 一 些 预先 定 义 好 的 
功能 ， 未 免 太 过 死板 了 。 为 了 让 Shell 脚 本 程序 更 好 地 满足 用 户 
的 一 些 实 时 需求 ， 以 便 灵活 完成 工作 ， 必 须要 让 脚本 程序 能 够 
像 之 前 执行 命令 时 那样 ， 接 收 用 户 输 入 的 参数 。 








其 实 ，Linux 系 统 中 的 Shell 脚 本 语言 早 就 考虑 到 了 这 些 ， 
已 经 内 设 了 用 于 接收 参数 的 变量 ， 变 量 之 间 可 以 使 用 空格 间 
隔 。 例 如 $0 对 应 的 是 当前 Shell 和 脚本 程序 的 名 称 ， 和 对 应 的 是 总 
共有 几 个 参数 ，$* 对 应 的 是 所 有 位 置 的 参数 值 ，$? 对 应 的 是 显 
示 上 一 次 命令 的 执行 返回 值 ， 而 $1、$2、$3...... 则 分 别 对 应 着 
第 N 个 位 置 的 参数 值 ， 如 图 4-15 所 示 。 
































$6， 第 6 个 位 置 参数 





cB) RSE 
图 4-15 Shell 脚 本 程序 中 的 参数 位 置 变量 


理论 过 后 我 们 来 练习 一 下 。 尝 试 编写 一 个 脚本 程序 示例 ， 
通过 引用 上 面 的 变量 参数 来 看 下 真实 效 来 : 








[root@linuxprobe ~]# vim example.sh 
#!/bin/bash 
echo "当前 脚本 名 称 为 $6" 


echo "总 共有 人 # 个 参数 ， 分 别 是 gr#。" 





echo “第 1 个 参数 为 81， 第 5 个 为 85。" 
[root@linuxprobe ~]# sh example.sh one two three four f 


ive six 
当前 脚本 名 称 为 example.sh 


总 共有 6 个 参数 ， 分 别 是 one two three four five six. 





第 1 个 参数 为 one， 第 5 个 为 five。 





4.2.3 判断 用 户 的 参数 

学 习 是 一 个 登 党 入室、 由 浅 入 深 的 过 程 。 在 学 习 完 Linux 
命令 、 掌 握 Shell 脚 本 语法 变量 和 接收 用 户 输入 的 信息 之 后 ， 就 
要 踏 上 新 的 高 度 一 能够 进一步 处 理 接收 到 的 用 户 参 数 。 








在 本 书 前 面 章节 中 讲 到 ， 系 统 在 执行 mkdir 命 令 时 会 判断 
用 户 得 入 的 信息 ， 即 判断 用 户 指定 的 文件 夹 名 称 是 否 已 经 存 
在 ， 如 果 存 在 则 提示 报错 ; 反之 则 目 动 创建 。Shell 脚 本 中 的 条 
件 测 试 语法 可 以 判断 表达 式 是 否 成 立 ， 夺 条件 成 并 则 返回 数字 
0， 和 否则 便 返回 其 他 随机 数值 。 条 件 测试 语法 的 执行 格式 如 图 
4-16 所 示 。 切 记 ， 条 件 表达 式 两 边 均 应 有 一 个 空格 。 


























测试 语句 格式 :[ 条 件 表达 式 ] 
两 边 均 应 有 一 个 空格 





图 4-16 条件 测 试 语句 的 执行 格式 
按照 测试 对 象 来 划分 ， 条 件 测试 语句 可 以 分 为 4 种 : 


。 文件 测 试 语句 ; 
。 逻辑 测试 语句 ; 


。 整 数值 比较 语句 ; 
。 字符 串 比 较 语 句 。 


文件 测试 即使 用 指定 条 件 来 判断 文件 是 否 存 在 或 权限 是 否 
满足 等 情况 的 运算 人行， 具体 的 参数 如 表 4-3 所 示 。 


表 4-3 ”文件 测试 所 用 的 参数 


作用 


测试 文件 是 否 为 目录 类 型 





测试 文件 是 否 存 在 


判断 是 否 为 一 般 文件 





测试 当前 用 户 是 否 有 权限 读 取 





测试 当前 用 户 是 否 有 权限 写 入 


测试 当前 用 户 是 否 有 权限 执行 


下 面 使 用 文件 测试 语句 来 判断 /etc/fstab 是 否 为 一 个 目录 类 








型 的 文件 ， 然 后 通过 Shell 解 释 器 的 内 设 $? 变 量 显 示 上 一 条 命令 
执行 后 的 返回 值 。 如 果 返 回 值 为 0， 则 目录 存在 ， 如 宁 返 回 值 
为 非 零 的 值 ， 则 意味 看 目录 不 存在 : 








[root@linuxprobe ~]# [ -d /etc/fstab | 
[root@linuxprobe ~]# echo $? 
1 


再 使 用 文件 测试 语句 来 判断 /etcfstab 是 否 为 一 般 文件 ， 如 
朵 返回 值 为 0%0， 则 代表 文件 存在 ， 且 为 一 般 文件 : 


[root@linuxprobe ~]# [ -f /etc/fstab | 
[root@linuxprobe ~]# echo $? 
0 


逻辑 语句 用 于 对 测试 结果 进行 逻辑 分 析 ， 根 据 测 试 结果 可 
同 的 效果 。 例 如 在 Shel 终 端 中 逻辑 “与 ?的 运算 符号 是 
&， 扎 表示 当前 面 的 命令 执行 成 功 后 才 会 执行 它 后 面 的 命 
: 因此 可 以 用 来 判断 /dewcdrom 文 件 是 否 存在 ， 若 存在 则 输 
出 Exist 字 样 。 











[root@linuxprobe ~]# [ -e /dev/cdrom ] && echo "Exist" 
Exist 


BR SR Soh, MAREN, 它 在 Linux 系 统 中 的 运算 
符号 为 |， 表 示 当 前 面 的 命令 执行 失败 后 才 会 执行 它 后 面 的 命 














令 ， 因 此 可 以 用 来 结合 系统 环境 变量 USER 来 判断 当前 登录 的 
用 户 是 否 为 非 管 理 员 身份 : 





[root@linuxprobe ~]# echo $USER 
root 
[root@linuxprobe ~]# [ $USER = root ] || echo "user" 


[root@linuxprobe ~]# su - linuxprobe 
[linuxprobe@linuxprobe ~]$ [ $USER = root ] || echo "us 
er" 











第 三 种 逻辑 语句 是 “ 非 ?， 在 Linux 系 统 中 的 运算 符号 是 一 
个 叹 号 〈《! ) ， 它 表示 把 条 件 测 试 中 的 判断 结果 取 相 反 值 。 也 
束 是 说 ， 如 末 原 本 测试 的 结果 是 正确 的 ， 则 将 其 变 成 错误 的 ; 
原本 测试 错误 的 结果 则 将 其 变 成 正确 的 。 











我 们 现在 切换 到 一 个 普通 用 户 的 身份 ， 再 判断 当前 用 户 是 
个 为 一 个 非 管 理 员 的 用 户 。 由 于 判断 结果 因为 两 次 人 否定 而 变 成 
正确 ， 因 此 会 正常 地 输出 预 设 信息 : 





[linuxprobeQlinuxprobe ~]$ exit 
logout 


[root@linuxprobe root]# [ ! $USER = root ] || echo "adm 
inistrator" 
administrator 








束 拉 术 图 书 的 写作 来 讲 ， 一 般 有 两 种 套路 : VEU RIET 
ERR T; 让 读者 觉得 自己 搞 懂 搁 术 了 。 因 此 市 面 上 很 多 浅显 




















的 图 书 会 让 读者 在 学 完 之 后 感觉 进步 特别 快 ， 这 基本 上 是 作者 
有 意 为 之 ， 目 的 就 十 让 您 觉得 “图 书 很 有 料 ， 上 自己 收获 很 大 ”， 
但 是 在 步 入 工作 岗位 后 就 露出 短 板 吃 大 亏 。 所 以 刘 道 老师 决定 
继续 提高 难度 ， 为 读者 增加 一 个 综合 的 示例 ， 一 方面 作为 前 述 
知识 的 总 结 ， 男 一 方面 帮助 读者 夯实 基础 ， 能 够 在 今后 工作 中 
更 灵活 地 使 用 逻辑 符号 。 











当前 我 们 正在 登录 的 即 为 管理 员 用 户 一 一 root。 下 面 这 个 
示例 的 执行 顺序 是 ， 先 判断 当前 登录 用 户 的 USER 变 量 名 称 是 
售 等 于 root， 然 后 用 尿 辑 运算 符 “ 非 ?进行 取 反 操作 ， 效 果 就 变 
成 了 判断 当前 登录 的 用 户 是 否 为 非 管理 员 用 户 了 。 最 后 知 条 件 
成 立 则 会 根据 逻辑 “与 ”运算 符 输 出 user 字 样 ， 或 条 件 不 满足 则 
会 通过 逻辑 “或 ”运算 符 输 出 root 字 样 ， 而 如 果 前 面 的 && 不 成 立 
才 会 执行 后 面 的 | 符号 。 





























[root@linuxprobe ~]# [ ! $USER = root ] && echo "user" 


|| echo "root" 
root 








整数 比较 运算 符 仅 是 对 数字 的 操作 ， 不 能 将 数字 与 字符 
串 、 文 件 等 内 容 一 起 操作 ， 而 且 不 能 想当然 地 使 用 日 常生 活 中 
的 等 号 、 大 于 号 、 小 于 号 等 来 判断 。 因 为 等 号 与 赋值 命令 符 冲 
突 ， 大 于 号 和 小 于 号 分 别 与 输出 重 定 同 命令 符 和 输入 重 定 同 命 
令 符 冲突 。 因 此 一 定 要 使 用 规范 的 整数 比较 运算 符 来 进行 操 




















作 。 可 用 的 整数 比较 运算 符 如 表 4-4 所 示 。 


表 4-4 ”可 用 的 整数 比较 运算 符 





接 下 来 小 斌 牛刀。 我 们 先 测试 一 下 10 是 否 大 于 10 以 及 10 是 
否 等 于 10 (通过 输出 的 返回 值 内 容 来 判断 〉: 





[root@linuxprobe ~]# [ 10 -gt 10 | 
[root@linuxprobe ~]# echo $? 
1 


[root@linuxprobe ~]# [ 10 -eq 10 | 
[root@linuxprobe ~]# echo $? 
9 








在 2.4 节 曾经 讲 过 free 命 令 ， 它 可 以 用 来 获取 当前 系统 正在 
使 用 及 可 用 的 内 存量 信息 。 接 下 来 先 使 用 free -mm 命令 查看 内 存 
使 用 量 情况 〈 单 位 为 MB) ， 然 后 通过 grep Mem: 命 令 过 滤 出 剩 
余 内 存量 的 行 ， 再 用 awk {print $4}' 命 令 只 保留 第 四 列 ， 最 后 
用 FreeMem= 语 句 的 方式 把 语句 内 执行 的 结果 赋值 给 变量 。 





























这 个 泪 示 确实 有 些 难 度 ， 但 看 书后 会 党 得 很 有 意思 ， 没 准 
在 运 维 工作 中 也 会 用 得 上 。 





[root@linuxprobe ~]# free -m 
total used free shared 

ers cached 
Mem: 1826 1244 582 9 

413 
-/+ buffers/cache: 830 996 
Swap: 2047 0 2047 
[root@linuxprobe ~]# free -m | grep Mem: 


Mem: 1826 1244 582 9 
[root@linuxprobe ~]# free -m | grep Mem: | awk '(print 
$4}' 

582 


[root@linuxprobe ~]# FreeMem=` free -m | grep Mem: | awk 
'{print $4}'` 

[root@linuxprobe ~]# echo $FreeMem 

582 














EMA TARA A RI SER ar DAZ n] Be t Es 
纲 ” 了 ， 如 有 果 不 能 理解 领会 也 不 用 担心 ， 接 下 来 才 是 重点 。 我 
们 使 用 整数 运算 符 来 判断 内 存 可 用 量 的 值 是 否 小 于 1024， 生 小 
于 则 会 提示 “Insufficient Memory”( 内 存 不 足 ) 的 字样 : 








[root@linuxprobe ~]# [ $FreeMem -1t 1024 ] && echo "Ins 
ufficient Memory" 


Insufficient Memory 





字符 串 比 较 语 句 用 于 判断 测试 字符 串 是 否 为 空 值 ， 或 两 个 
字符 串 是 否 相 同 。 它 经 常用 来 判断 某 个 变量 是 否 未 被 定义 〈 即 
内 容 为 空 值 )， 理 解 起 来 也 比较 简单 。 字 符 串 比较 中 常见 的 运 
算 符 如 表 4-5 所 示 。 








表 4-5 ”管见 的 字符 串 比较 运算 从 


判断 字符 串 内 容 是 否 为 








接 下 来 通过 判断 String 变 量 是 人 否 为 空 值 ， 进 而 判断 是 否定 
义 了 这 个 变量 : 


[root@linuxprobe ~]# [ -z $String] 
[root@linuxprobe ~]# echo $? 





0 





再 尝试 引入 逻辑 运算 和 从 来 试 一 下 。 当 用 于 保存 当前 语系 的 
环境 变量 值 LANG 不 是 英语 (en.US) 时 ， 则 会 满足 逻辑 测试 
条 件 并 输出 “Not en.US”( 非 英语 ) 的 字样 : 


[root@linuxprobe ~]# echo $LANG 
en_US.UTF-8 


[root@linuxprobe ~]# [ $LANG != "en.US" ] && echo "Not 
en.US" 
Not en.US 





43 流程 控制 语句 


尽管 此 时 可 以 通过 使 用 Linux 命 令 、 管 道 符 、 重 定向 以 及 
条 件 测 试 语句 来 编写 最 基本 的 Shell 脚 本 ， 但 是 这 种 脚本 并 不 适 
用 于 生产 环境 。 原 因 是 它 不 能 根据 真实 的 工作 需求 来 调整 具体 
的 执行 命令 ， 也 不 能 根据 某 些 条 件 实 现 自动 循环 执行 。 例 如 ， 
我 们 需要 批量 创建 1000 位 用 户 ， 首 先 要 判断 这 些 用 户 是 否 已 经 
存在 ; 若 不 存在 ， 则 通过 循环 语句 让 脚本 自动 且 依次 创建 他 
URP 





























接 下 来 我 们 通过 让 、for、while、case 这 4 种 流程 控制 语句 
来 学 习 编写 难度 更 大 、 功 能 更 强 的 Shell 脚 本 。 为 了 保证 下 文 的 
实用 性 和 趣味 性 ， 做 到 语 教 于 乐 ， 我 会 尽 可 能 多 地 讲解 各 种 不 
同 功能 的 Shell 脚 本 示例 ， 而 不 是 隶 住 一 个 脚本 不 放 ， 在 它 原 有 
内 容 的 基础 上 修 修补 补 。 尽 管 这 种 修补 式 的 示例 教学 也 可 以 让 
读者 明 昌 理论 知识 ， 但 是 却 无 法 开放 思路 ， 不 利于 日 后 的 工 
(Pe 

















4.3.1 让 条 件 测 试 语 名 

if 条 件 测 试 语句 可 以 让 脚本 根据 实际 情况 自动 执行 相应 的 
命令 。 从 技术 角度 来 讲 ，i 语 名 分 为 单 分 支 结构 、 双 分 支 结 
构 、 多 分 支 结 构 ;， 其 复杂 上 度 随 着 灵活 度 一 起 逐 级 上 升 。 

















if 条 件 语句 的 单 分 支 结 构 由 if、then、i 关 键 词组 成 ， 而 且 
只 在 条 件 成 立 后 才 执 行 预 设 的 命令 ， 相 当 于 口语 的 “如 果 ..….... 
31A ...... ”。 单 分 支 的 让 语句 属于 最 简单 的 一 种 条 件 判 断 结构 ， 


语法 格式 如 图 4-17 所 示 。 


then 创建 该 目录 


then 命令 序列 





图 4-17 "Zr SC itis A) 


Fifi f Hl NTRA EaR Br/media/cdrom H 3 zé $8 
FE, Fa FETED XR AK EF AE PB Shel MIAN, ez WW Ge 
这 个 目录 : 








[root@linuxprobe ~]# vim mkcdrom.sh 
#!/bin/bash 
DIR="/media/cdrom" 


if [ ! -e $DIR ] 
then 

mkdir -p $DIR 
fi 








由 于 第 5 章 才 讲解 用 户 身 份 与 权限 ， 因 此 这 里 继续 用 “bash 
脚本 名 称 ” 的 方式 来 执行 脚本 。 在 正常 情况 下 ， 顺 利 执行 完 脚 
本 文件 后 没有 任何 输出 信息 ， 但 是 可 以 使 用 ls 命令 验 




















证 /media/cdrom 目录 是 否 已 经 成 功 创 建 : 


[root@linuxprobe ~]# bash mkcdrom.sh 
[root@linuxprobe ~]# ls -d /media/cdrom 
/media/cdrom 








if ACES A AY XO) 5 4 if. then. else. fioe & is] ZA Ak, 
RET KAPLAN, ORS REE, MST RY 
预 设 命令 ; 反之 则 去 执行 不 匹配 时 的 预 设 命令 ， 相 当 于 口语 
的 “如 果 ...... 那 么 ...... 或 者 ..….... 那 么 ......”。if 条 件 语 句 的 双 分 
文 结构 也 是 一 种 很 简单 的 判断 结构 ， 语 法 格式 如 图 4-18 所 示 。 





then 命令 序列 1 


else 命令 序列 2 





图 4-18” 双 分 支 的 f 语 句 








下 面 使 用 双 分 六 的 if 条 件 语句 来 验证 某 台 主机 是 否 在 线 ， 
然后 根据 返回 值 的 结果 ， 要 么 显示 主机 在 线 信息 ， 要 么 显示 主 
机 不 在 线 信息 。 这 里 的 脚本 主要 使 用 ping 命 令 来 测试 与 对 方 主 
机 的 网 络 联通 性 ， 而 Linux 系 统 中 的 ping 命 令 不 像 Windows 一 样 
壬 试 4 次 束 结 束 ， 因 此 为 了 避免 用 户 等 竺 时间 过 长 ， 需 要 通过 - 
c 参 数 来 规定 尝试 的 次 数 ， 并 使 用 -i 参数 定义 每 个 数据 包 的 发 送 




















间隔 ， 以 及 使 用 -WwW 参数 定义 等 待 超时 时 间 。 


[root@linuxprobe ~]# vim chkhost .sh 
#!/bin/bash 

ping -c 3 -i 0.2 -W 3 $1 &» /dev/null 
if [ $? -eq 0 ] 


then 

echo "Host $1 is On-line." 
else 

echo "Host $1 is Off-line." 
Ti 








我 们 在 4.2.3 小 节 中 用 过 $? 变 量 ， 作 用 是 显示 上 一 次 命令 的 
执行 返回 值 。 辱 前 面 的 那 条 语句 成 功 执行 ， 则 $3 变量 会 显示 数 
字 0， 反 之 则 显示 一 个 非 零 的 数字 〈 可 能 为 1， 也 可 能 为 2， 取 
决 于 系统 版 本 ) 。 因 此 可 以 使 用 整数 比较 运算 符 来 判断 $? 变 量 
是 否 为 0， 从 而 获知 那 条 语句 的 最 终 判断 情况 。 这 里 的 服务 器 
IP 地 址 为 192.168.10.10， 我 们 来 验证 一 下 脚本 的 效果 : 


[root@linuxprobe ~]# bash chkhost.sh 192.168.10.10 
Host 192.168.10.10 is On-line. 


[root@linuxprobe ~]# bash chkhost.sh 192.168.10.20 
Host 192.168.10.20 is Off-line. 








if 条 件 语句 的 多 分 支 结 构 由 过 、then、else、elif、 关 键 词 
组 成 ， 它 进行 多 次 条 件 匹 配 判断 ， 这 多 次 判断 中 的 任何 一 项 在 
死 配 成 功 后 都 会 执行 相应 的 预 设 命 令 ， 相 当 于 口语 的 “如 
E ae M At 如 果 ...... 那 么 ......”。if 条 件 语句 的 多 分 支 结 构 











re LVEF tec f FH AS] — BR A a), FS ET LAS Ee SE 
加 灵活 ， 语 法 格式 如 图 4-19 所 示 。 





elif 条 件 测试 操作 2 elif 分 数 为 70 一 84 之 间 
then 命令 序列 2 then 判 为 合格 


else else 
命令 序列 3 判 为 不 合格 
Ta r1 





图 4-19 ”多 分 支 的 if 语 句 


下 面 使 用 多 分 六 的 if 条 件 语句 来 判断 用 户 输 入 的 分 数 在 哪 
个 成 绩 区 间 内 ， 然 后 输出 如 Excellent、Pass、Fail 等 提示 信息 。 
在 Linux 系 统 中 ，read 是 用 来 读 取 用 户 输入 信息 的 命令 ， 能 够 把 
接收 到 的 用 户 输 入 信息 赋值 给 后 面 的 指定 变量 ，-p 参 数 用 于 问 
用 户 显示 一 定 的 提示 信息 。 在 下 面 的 脚本 示例 中 ， 只 有 当 用 户 
输入 的 分 数 大 于 等 于 85 分 且 小 于 等 于 100 分 ， 才 输出 Excellent 
字样 ， 若 分 数 不 满 足 该 条 件 〈 即 匹配 不 成 功 ) ， 则 继续 判断 分 
数 是 否 大 于 等 于 70 分 且 小 于 等 于 84 分 ， 如 果 是 ， 则 输出 Pass 字 
样 ， 奢 两 次 都 沙 空 〈《 即 两 次 的 下 配 操作 都 失败 了 〉， 则 输出 
Fail 字 样 : 


[root@linuxprobe ~]# vim chkscore.sh 

















#!/bin/bash 

read -p "Enter your score (0-100) : " GRADE 

if [ $GRADE -ge 85 ] && [ $GRADE -le 100 ] ; then 
echo "$GRADE is Excellent" 

elif [ $GRADE -ge 70 ] && [ $GRADE -le 84 ] ; then 
echo "$GRADE is Pass" 


echo "$GRADE is Fail" 


[root@linuxprobe ~]# bash chkscore.sh 
Enter your score (0-100) : 88 

88 is Excellent 

[root@linuxprobe ~]# bash chkscore.sh 
Enter your score (0-100) : 80 

80 is Pass 





下 面 执行 该 脚本 。 当 用 户 输入 的 分 数 分 别 为 30 和 200 时 ， 
其 结 末 如 下 : 
[root@linuxprobe ~]# bash chkscore.sh 


Enter your score (0-100) : 30 
30 is Fail 


[root@linuxprobe ~]# bash chkscore.sh 
Enter your score (0-100) : 200 
200 is Fail 








为 什么 输入 的 分 数 为 200 时 ， 依 然 显 示 EFail 呢 ? 原因 很 简单 
一 一 没有 成 功 匹 配 脚 本 中 的 两 个 条 件 判断 语句 ， 因 此 自动 执行 
了 最 终 的 忽 底 策略 。 可 见 ， 这 个 脚本 还 不 是 很 完美 ， 建 议 读者 
自行 完善 这 个 脚本 ， 使 得 用 户 在 输入 大 于 100 或 小 于 0 的 分 数 





时 ， 给 予 Error 报 错字 样 的 提示 。 


4.3.2 for 条件 循环 语句 


for 人 循环 语句 允许 脚本 一 次 性 读 取 多 个 信息 ， 然 后 逐一 对 信 
上 县 进行 操作 处 理 ， 当 要 处 理 的 数据 有 范围 时 ， 使 用 for 循 环 语 








句 再 适合 不 过 了 。for 循 环 语句 的 语法 格式 如 图 4-20 所 示 。 





图 4-20 for 循环 语句 的 语法 格式 


下 面 使 用 for 循 环 语句 从 列表 文件 中 读 取 多 个 用 户 名 ， 然 后 
为 其 逐一 创建 用 户 账 户 并 设置 密码 。 首 先 创 建 用 户 名 称 的 列表 
文件 users.txt， 每 个 用 户 名 称 单独 一 行 。 该 者 可 以 目 行 决定 具 
体 的 用 户 名 称 和 个 数 : 




















[root@linuxprobe ~]# vim users.txt 
andy 

barry 

carl 


duke 
eric 
george 





接 下 来 编写 Shell 脚 本 Example.sh。 在 脚本 中 使 用 read 命 令 
读 取 用 户 输 入 的 密码 值 ， 然 后 赋值 给 PASSWD 变 量 ， 并 通过 -p 
参数 回 用 户 显 示 一 段 提 示 信 息 ， 告 诉 用 户 正 在 输入 的 内 容 即 将 
作为 账户 密码 。 在 执行 该 脚本 后 ， 会 自动 使 用 从 列表 文件 
users.txt 中 获取 到 所 有 的 用 户 名 称 ， 然 后 逐一 使 用 “id 用 户 
名 ”命令 但 看 用 户 的 信息 ， 并 使 用 $3 判断 这 条 命令 是 否 执 行 成 
功 ， 也 就 是 判断 该 用 户 是 否 已 经 存在 。 


























需要 多 说 一 句 ，/devnull 是 一 个 被 称 作 Linux 黑 洞 的 文件 ， 
把 输出 信息 重 定 同 到 这 个 文件 等 同 于 删除 数据 (类 似 于 没有 回 
收 功能 的 垃圾 箱 ) ， 可 以 让 用 户 的 屏幕 窗口 保持 简洁 。 











[root@linuxprobe ~]# vim Example.sh 
#!/bin/bash 

read -p "Enter The Users Password : " PASSWD 
for UNAME in ‘cat users.txt' 

do 


id $UNAME &» /dev/null 

if [ $? -eq 0 ] 

then 

echo "Already exists" 

else 

useradd $UNAME &» /dev/null 
echo "$PASSWD" | passwd --stdin $UNAME &» /dev/null 
if [ $? -eq 0 ] 

then 

echo "$UNAME , Create success" 
else 

echo "$UNAME , Create failure" 


fi 
fi 
done 

执行 批量 创建 用 户 的 Shell 脚 本 Example.sh， 在 输入 为 账户 
设 定 的 密码 后 将 由 脚本 上 自动 检查 并 创建 这 些 账户 。 由 于 已 经 将 
多 余 的 信息 通过 输出 重 定 同 符 转移 到 了 /devnul 黑 洞 文件 中 ， 
因此 在 正 稼 情况 下 屏幕 窗口 除了 “用 户 账户 创建 成 功 ”(Create 
success) 的 提示 后 不 会 有 其 他 内 容 。 























在 Linux 系 统 中 ，/etc/passwd 是 用 来 保存 用 户 账户 信息 的 文 
件 。 如 果 想 确认 这 个 脚本 是 否 成 功 创建 了 用 户 账户 ， 可 以 打开 
这 个 文件 ， 看 其 中 是 否 有 这 些 新 创建 的 用 户 信 息 。 











[root@linuxprobe ~]# bash Example.sh 
Enter The Users Password : linuxprobe 
andy , Create success 

barry , Create success 

carl , Create success 

duke , Create success 

eric , Create success 

george , Create success 

[root@linuxprobe ~]# tail -6 /etc/passwd 
andy :x:1001:1001: : /home/andy: /bin/bash 
barry:x:1002:1002::/home/barry:/bin/bash 
carl:x:1003:1003::/home/carl:/bin/bash 
duke:x:1004:1004: : /home/duke: /bin/bash 
eric:x:1005:1005::/home/eric:/bin/bash 
george: xX:1006:1006: : /home/george: /bin/bash 





您 还 记得 在 学 习 双 分 文 f 条 件 语 句 时 ， 用 到 的 那个 测试 主 
机 是 否 在 线 的 脚本 么 ? 既然 我 们 现在 已 经 掌握 了 for 循 环 语 
句 ， 不 妨 做 些 更 酷 的 事情 ， 比 如 尝试 让 脚本 从 文本 中 目 动 读 取 
主机 列表 ， 然 后 目 动 逐 个 测试 这 些 主机 是 售 在 线 。 














首先 创建 一 个 主机 列表 文件 ipadds.txt: 


[root@linuxprobe ~]# vim ipadds.txt 
192.168.10.10 


192.168.10.11 
192.168.10.12 





AR Ja BU TR ES OL AT scitk LEG) ford is He. VERI 
本 从 主机 列表 文件 ipadds.txt 中 自动 读 取 IP 地 址 (用 来 表示 主 
机 ) 并 将 其 赋值 给 HLIST 变 量 ， 从 而 通过 判断 ping 命 令 执行 后 
的 返回 值 来 逐个 测试 主机 是 否 在 线 。 脚 本 中 出 现 的 $《〈 命 令 ) 
是 一 种 完全 类 似 于 第 3 章 的 转 义 字符 中 反 引 号 命令 的 Shell 操 作 
符 ， 效 果 同 样 是 执行 括号 或 双 引 号 括 起 来 的 字符 串 中 的 命令 。 
大 家 在 编写 脚本 时 ， 多 学 习 几 种 类 似 的 新 方法 ， 可 在 工作 中 大 
显 身 手 : 

















[root@linuxprobe ~]# vim CheckHosts.sh 
#!/bin/bash 

HLIST=$(cat ~/ipadds.txt) 

for IP in $HLIST 

do 

ping -c 3 -i 0.2 -W 3 $IP &> /dev/null 


if [ $? -eq 0 ] ; then 
echo "Host $IP is On-line." 


echo "Host $IP is Off-line." 


done 

[root@linuxprobe ~]# ./CheckHosts.sh 
Host 192.168.10.10 is On-line. 

Host 192.168.10.11 is Off-line. 

Host 192.168.10.12 is Off-line. 





43.3 ” ”while 条件 循环 语句 


while 条 件 循环 语句 是 一 种 让 脚本 根据 某 些 条 件 来 重复 执 
行 命令 的 语句 ， 它 的 循环 结构 往往 在 执行 前 并 不 确定 最 终 执行 
的 次 数 ， 完 全 不 同 于 for 循 环 语句 中 有 目标 、 有 范围 的 使 用 场 
景 。while 循 环 语句 通过 判断 条 件 测试 的 真 假 来 决定 是 否 继 续 
执行 命令 ， 帮 条 件 为 真 就 继续 执行 ， 为 假 就 结束 循环 。while 
语句 的 语法 格式 如 图 4-21 所 示 。 














while 未 猜 中 正确 价格 
do 


反复 猜测 商品 价格 


done 





图 4-21 while 循环 语句 的 语法 格式 


接 下 来 结合 使 用 多 分 支 的 if 条 件 测试 语句 与 while 条 件 循环 
语句 ， 编 写 一 个 用 来 猜测 数值 大 小 的 脚本 Guess.sh。 该 脚本 使 














用 $RANDOM 变 量 来 调 取 出 一 个 随机 的 数值 〈 范 围 为 0 一 
32767) ， 将 这 个 随机 数 对 1000 进 行 取 余 操作 ， 并 使 用 expr 命 
令 取 得 其 结果 ， 再 用 这 个 数值 与 用 户 通过 read 命 令 输入 的 数值 
进行 比较 判断 。 这 个 判断 语句 分 为 三 种 情况 ， 分 别 是 判断 用 户 
输入 的 数值 是 等 于 、 大 于 还 是 小 于 使 用 expr 命 令 取 得 的 数值 。 
当前 ， 现 在 这 些 内 容 不 是 重点 ， 我 们 当前 要 关注 的 是 while 条 
件 循环 语句 中 的 条 件 测 试 始终 为 true， 因 此 判断 语句 会 无 限 执 
行 下 去 ， 直 到 用 户 输入 的 数值 等 于 expr 命 令 取 得 的 数值 后 ， 这 
两 者 相等 之 后 才 运 行 exit 0 命令 ， 终 止 脚本 的 执行 。 

















[root@linuxprobe ~]# vim Guess.sh 
#!/bin/bash 

PRICE=$(expr $RANDOM % 1000) 

TIMES=@ 

echo “商品 实际 价格 为 8-999 之 间 ， 猜 猜 看 是 多 少 ? " 
while true 

do 

read -p "请 输入 您 猜测 的 价格 数目 ，” INT 

let TIMES++ 

if [ $INT -eq $PRICE ] ; then 


echo "恭喜 您 答对 了 ， 实 际 价格 是 $PRICE" 
echo "您 总 共 猜 测 了 $TIMES 次 " 
0 


[ $INT -gt $PRICE ] ; then 
"大 高 了 ! " 


ie 





在 这 个 Guess.sh 脚 本 中 ， 我 们 添加 了 一 些 交 互 式 的 信息 ， 
从 而 使 得 用 户 与 系统 的 互动 性 得 以 增强 。 而 且 每 当 循 环 到 let 
Ce 
总 计 执行 了 多 少 次 。 这 可 以 让 用 户 得 知 总 共 猜 测 了 多 少 次 之 
X jeu 














[rootglinuxprobe ~]# bash Guess.sh 
商品 实际 价格 为 96-999 之 间 ， 猜 猜 看 是 多 少 ? 
请 输入 您 猜测 的 价格 数目 : 500 

太 低 了 ! 

请 输入 您 猜测 的 价格 数目 : 800 

Aisi I! 

请 输入 您 猜测 的 价格 数目 : 650 

AIRT 

请 输入 您 猜测 的 价格 数目 : 720 

Kiet I! 


请 输入 您 猜测 的 价格 数目 ，698 
1 


太 低 了 ! 

请 输入 您 猜测 的 价格 数目 : 700 
太 高 了 ! 

请 输入 您 猜测 的 价格 数目 : 695 
太 高 了 ! 

请 输入 您 猜测 的 价格 数目 : 692 
太 高 了 ! 

请 输入 您 猜测 的 价格 数目 : 691 
恭喜 您 答对 了 ， 实 际 价格 是 691 
您 总 共 猜 测 了 9 次 





4.3.4 ”case 条 件 测试 语句 











如 果 您 之 前 学 习 过 C 语 言 ， 看 到 这 一 小 节 的 标题 肯定 会 会 


心 一 笑 “ 这 不 就 是 switch 语 句 嘛 ! ”是 的 ，case 条 件 测试 语句 和 
switch 语 句 的 功能 非常 相似 ! case 语 句 是 在 多 个 范围 内 匹配 数 
据 ， 寿 匹配 成 功 则 执行 相关 命令 并 结束 整个 条 件 测 试 ， 而 如 果 
数据 不 在 所 列 出 的 范围 内 ， 则 会 去 执行 星 号 CH) 中 所 定义 的 
默认 命令 。case 语 句 的 语法 结构 如 图 4-22 所 示 。 














[0=91) 
提示 为 数字 。 


) 
提示 为 特殊 字符 


coat’ 





图 4-22” case 条 件 测 试 语 句 的 语法 结构 








在 前 文 介绍 的 Guess.sh 脚 本 中 有 一 个 致命 的 弱点 É 
接受 数字 ! 您 可 以 党 试 输入 一 个 字母 ， 会 友 现 脚本 立即 束 衣 省 
了 。 原 因 是 字母 无 法 与 数字 进行 大 小 比较 ， 例 如 ,，“a 是 否 大 于 
等 于 3” 这 样 的 命题 是 完全 错误 的 。 我 们 必须 有 一 定 的 措施 来 判 
汤 用 户 的 输入 内 容 ， 当 用 户 输 入 的 内 容 不 是 数字 时 ， 脚 本 能 
以 提示 ， 从 而 免 于 骨 淡 。 


AG 








通过 在 脚本 中 组 合 使 用 case 条 件 测 试 语句 和 通配符 〈 详 见 
第 3 章 ) ， 完 全 可 以 满足 这 里 的 需求 。 接 下 来 我 们 编写 脚本 
Checkkeys.sh， 提 示 用 户 输 入 一 个 字符 并 将 其 赋值 给 变量 
KEY， 然 后 根据 变量 KEY 的 值 向 用 户 显 示 其 值 是 字母 、 数 字 还 
是 其 他 字符 。 








[root@linuxprobe ~]# vim Checkkeys.sh 
#!/bin/bash 

read -p "请 输入 一 个 字符 ， 并 按 Enter 键 确认 : " KEY 
case "$KEY" in 

[a-z]|[A-Z]) 

echo "您 输入 的 是 字母 。" 


[0-9]) 

echo "您 输入 的 是 数字 。" 

echo “您 输入 的 是 空格 、 功 能 键 或 其 他 控制 字符 。" 
esac 

[root@linuxprobe ~]# bash Checkkeys.sh 
请 输入 一 个 字符 ， 并 按 Enter 键 确认 : 6 

您 输入 的 是 数字 。 

[root@linuxprobe ~]# bash Checkkeys.sh 
请 输入 一 个 字符 ， 并 按 Enter 键 确认 : p 

您 输入 的 是 字母 。 

[root@linuxprobe ~]# bash Checkkeys.sh 
请 输入 一 个 字符 ， 并 按 Enter 键 确认 : ^[[15~ 
您 输入 的 是 空格 、 功 能 键 或 其 他 控制 字符 。 





44 计划 任务 服务 程序 


经 验 丰富 的 系统 运 维 工 程 师 可 以 使 得 Linux 在 无 需 人 为 介 
入 的 情况 下 ， 在 指定 的 时 间 段 目 动 司 用 或 俘 止 东 些 服务 或 命 
令 ， 从 而 实现 运 维 的 目 动 化 。 尺 管 我 们 现在 已 经 有 了 功能 彪 悍 
的 脚本 程序 来 执行 一 些 批 处 理工 作 ， 但 是 ， 如 果 仍 然 需要 在 每 
天 雇 晨 两 点 也 击 键盘 回 车 键 来 执行 这 个 脚本 程序 ， 这 简直 太 痛 
百 了 《当然 ， 也 可 以 训练 您 的 小 猫 在 半夜 按 下 回 车 键 ) 。 接 下 
来 ， 刘 肖 老师 将 同 大 家 讲解 如 何 设置 服务 局 的 计划 任务 服务 ， 
把 周期 性 、 规 律 性 的 工作 交 给 系统 自动 完成 。 




















计划 任务 分 为 一 次 性 计划 任务 与 长 期 性 计划 任务 ， 大 家 可 
以 按照 如 下 方式 理解 。 





e 一 次 性 计划 任务 : 今 晚 11 点 30 分 开启 网 站 服务 。 
e 长 期 性 计划 任务 : 每 周一 的 凌晨 3 点 25 分 把 home/wwwroot 
目录 打包 备份 为 backup.tar.gz。 


顾名思义 ， 一 次 性 计划 任务 只 执行 一 次 ， 一 般 用 于 满足 临 
时 的 工作 需求 。 我 们 可 以 用 at 命令 实现 这 种 功能 ， 只 需要 写 
成 “at 时 间 ” 的 形式 就 可 以 。 如 果 想 要 查看 已 设置 好 但 还 未 执行 
的 一 次 性 计划 任务 ， 可 以 使 用 "at -1* 命 令 ， 要 想 将 其 删除 ， 可 
以 用 “atrm 任务 序号 ”。 在 使 用 at 命令 来 设置 一 次 性 计划 任务 














时 ， 默 认 采 用 的 是 交互 式 方法 。 例 如 ， 使 用 下 述 命令 将 系统 设 
置 为 在 今 晚 23:30 分 自动 重启 网 站 服务 。 


[root@linuxprobe ~]# at 23:30 
at > systemctl restart httpd 
at > 此 处 请 同时 按 下 Ctrl + D 组 合 键 来 结束 编写 计划 任务 


job 3 at Mon Apr 27 23:30:00 2017 
[root@linuxprobe ~]# at -1 
3 Mon Apr 27 23:30:00 2017 a root 








MARRA HR POUEISE SE KH fS] GEE ETL, AY A 
把 前 面 学 习 的 管道 竺 《任意 门 ) 放 到 两 条 命令 之 间 ， 让 at 命令 
接收 前 面 echo 命 令 的 输出 信息 ， 以 达到 通过 非 交 互 式 的 方式 创 
建 计 划一 次 性 任务 的 目的 。 





[root@linuxprobe ~]# echo "systemctl restart httpd" | a 
t 23:30 

job 4 at Mon Apr 27 23:30:00 2017 

[root@linuxprobe ~]# at -1 

3 Mon Apr 27 23:30:00 2017 a root 

4 Mon Apr 27 23:30:00 2017 a root 





如 打 我 们 不 小 心 设置 了 两 个 一 次 性 计划 任务 ， 可 以 使 用 下 
面 的 命令 轻松 删除 其 中 一 个 : 


[root@linuxprobe ~]# atrm 3 


[root@linuxprobe ~]# at -1 
4 Mon Apr 27 23:30:00 2017 a root 





如 果 我 们 希望 Linux 系 统 能 够 周期 性 地 、 有 规律 地 执行 某 
些 具体 的 任务 ， 那 么 Linux 系 统 中 默认 启用 的 crond 服 务 人 简直 再 
适合 不 过 了 。 创 建 、 编 辑 计 划 任 务 的 命令 为 “crontab -e”, EA 
当前 计划 任务 的 命令 为 “crontab -J*"， 删 除 某 条 计划 任务 的 命令 
为 “crontab - 咏 。 另 外 ， 如 采 您 是 以 管理 员 的 号 份 登录 的 系统 ， 
还 可 以 在 crontab 命 令 中 加 上 -u 参 数 来 编辑 他 人 的 计划 任务 。 





在 正式 部 普 计 划 任 务 前 ， 请 先 跟 刘 遂 老师 念 一 下 口 
诀 “ 分 、 时 、 日 、 月 、 星 期 命令 "”。 这 是 使 用 crond 服 务 设 置 任 
务 的 参数 格式 《其 格式 见 表 4-6) 。 需 要 注意 的 是 ， 如 果 有 些 
字段 没有 设置 ， 则 需要 使 用 星 号 〈*#) 占 位 ， 如 图 4-23 所 示 。 


50 3 2 l * run command 
图 4-23 ”使 用 crond 设 置 任务 的 参数 格式 
表 4-6 使 用 crond 设 置 任 务 的 参数 字段 说 明 




















i 取 值 为 0 一 59 的 整数 


时 取 值 为 0 一 23 的 任意 


i BUBJ1—318) Ex SEA 


取 值 为 1 一 12 的 任意 整数 


取 值 为 0 一 7 的 任意 整数 ， 其 中 0 与 7 均 为 星期 日 


命令 | 要 执行 的 命令 或 程序 脚本 





假设 在 每 周一 、 三 、 五 的 凌晨 3 点 25 分 ， 都 需要 使 用 tar 命 
令 把 某 个 网 站 的 数据 目录 进行 打包 处 理 ， 使 其 作为 一 个 备份 文 
件 。 我 们 可 以 使 用 crontab -e 命 令 来 创建 计划 任务 。 为 自己 创建 
计划 任务 无 需 使 用 -u 参 数 ， 有 具体 的 实现 效果 的 参数 如 crontab -l 
命令 结果 所 示 : 





[root@linuxprobe ~]# crontab -e 
no crontab for root - using an empty one 
crontab: installing new crontab 


[root@linuxprobe ~]# crontab -1 
25 3 * * 1,3,5 /usr/bin/tar -czvf backup.tar.gz /home/w 
wwroot 





需要 说 明 的 是 ， 除 了 用 逗号 〈,) 来 分 别 表 示 多 个 时 间 
段 ， 例 如 “8,9,12” 表 示 8 月 、9 月 和 12 月 。 还 可 以 用 减 写 (-) 来 





R — BEBE ADIN TAY Jed 3 Cl nn Be“ A EE 12-15”, Jy 
表示 每 月 的 12 一 15 日 ) 。 以 及 用 除 号 GO 表示 执行 任务 的 间 
陋 时 间 《〈 例 如 “2 表示 每 隔 2 分 钟 执 行 一 次 任务 ) 之 外 。 








如 果 在 crond 服 务 中 需要 同时 包含 多 条 计划 任务 的 命令 语 
人 句 ， 应 每 行 仅 写 一 条 。 例 如 我 们 再 添加 一 条 计划 任务 ， 它 的 功 
能 是 每 周一 至 周 五 的 凌晨 1 点 钟 目 动 清空 /mp 目录 内 的 所 有 文 
件 。 尤 其 需要 注意 的 是 ， 在 crond 服 务 的 计划 任务 参数 中 ， 所 
有 命令 一 定 要 用 绝对 路 径 的 方式 来 号 ， 如 采 不 知道 绝对 路 径 ， 
请 用 whereis 命 令 进 行 查询 ，rm 命 令 路 径 为 下 面 输出 信息 中 加 


粗 部 分 。 











[root@linuxprobe ~]# whereis rm 

rm: /usr/bin/rm /usr/share/man/mani/rm.1.gz /usr/share/ 
man/manip/rm.1p.gz 

[root@linuxprobe ~]# crontab -e 


crontab: installing new crontab 

[root@linuxprobe ~]# crontab -1 

25 3 * * 1,3,5 /usr/bin/tar -czvf backup.tar.gz /home/w 
wwroot 

@1* * 1-5 /usr/bin/rm -rf /tmp/* 





FEAT BC» Hse EIR RL CEE HP EH da 
务 的 注意 事项 。 


。 在 crond 服 务 的 配置 参数 中 ， 可 以 像 Shell 脚 本 那样 以 # 号 开 
头 写 上 注释 信息 ， 这 样 在 日 后 回顾 这 段 命 令 代 码 时 可 以 快 








速 了 解 其 功能 、 需 求 以 及 编写 人 员 等 重要 信息 。 
。 计划 任务 中 的 “分 "字段 必须 有 数值 ， 绝 对 不 能 为 空 或 是 * 
号 ， 而 “日 "和 “星期 * 字 段 不 能 同时 使 用 ， 否 则 就 会 发 生 冲 


AS 


Ro 








n IRA), Ree tO AH, WülcrondTE 
内 的 很 多 服务 默认 调用 的 是 Vim 编 辑 器 ， 相 信 大 家 现在 能 进 一 
步 体会 到 在 Linux 系 统 中 掌握 Vim 文 本 编辑 器 的 好 处 了 吧 。 所 
以 请 大 家 一 定 要 在 彻底 掌握 Vim 编 码 器 之 后 再 学 习 下 一 章 。 





复习 题 


1. Vim 编辑 器 的 三 种 模式 分 别 是 什么 ? 


De 
rie 





fp EX. ATE Gd AE Cm] Sp p plui 
入 模式 ) 。 


2. 怎么 从 输入 模式 切换 到 末 行 模式 ? 
Ps ， 


A: i 227m ch EscHEAR Fl Pi XS Waki as 
CO 键 后 进入 末 行 模式 。 











3. 一 个 完整 的 Shell 脚 本 应 该 哪些 内 容 ? 
A. 应 该 包括 脚本 声明 、 注 释 信 息 和 可 执行 语句 〈 即 命 
4), 


4. 分 别 解 释 Shell 脚 本 中 $0 与 $3 变量 的 作用 。 


4: 在 Shell 脚 本 中 ，$0 代 表 脚 本 文件 的 名 称 ，$3 则 代表 该 
脚本 在 执行 时 接收 的 第 三 个 参数 。 











5. 这 条 件 测试 语句 有 几 种 结构 ， 最 灵活 且 最 复杂 的 是 哪 种 
结构 ? 





ps 


ET e 

















if 条 件 测试 语句 包括 单 分 支 、 双 分 支 与 多 分 支 等 三 种 
结构 ， 其 中 多 分 文 结构 是 最 灵活 且 最 复杂 的 结构 ， 
Wif...then...elif...then...else...fi. 





其 结构 形式 





A 


6. for 条 件 循环 语句 的 循环 结构 是 什么 样子 的 ? 


Ly 


for 条 件 循环 语句 的 结构 为 “for 变量 名 in 取 值 列表 do 
命令 序列 done”， 如 图 4-20 所 示 。 








A 


ma: 


7. 4 fEwhile HEE a hE H tru E AVA AE, AD 
么 会 发 生 什 么 事情 ? 


因 条 件 测试 值 永久 为 tue， 因 此 脚本 中 循环 部 分 会 无 
限 地 重复 执行 下 去 ， 直 到 磁 到 exit 命 令 才 会 结束 。 








8， 如 果 需 要 依据 用 户 的 输入 参数 执行 不 同 的 操作 ， 最 方 
便 的 条 件 测试 语句 是 什么 ? 
DA 


E. 


case 条 件 语句 。 





9. Linux 系 统 的 长 期 计划 任务 所 使 用 的 服务 是 什么 ， 其 参 
数 格式 是 什么 ? 








答 : 长 期 计划 任务 需要 使 用 crond 服 务 程序 ， 参 数 格式 
. FE. 日 、 月、 星期 命令 


第 5 革 AP ai SOXCTEBUR 








用 户 身 份 与 能 力 ; 
。 文件 权限 与 归属 ; 
。 文件 的 特殊 权限 ; 
。 文件 的 隐藏 权限 ; 


。 文件 访问 控制 列表 ; 






su 命令 与 sudo 服 务 。 








Linux 是 一 个 多 用 户 、 多 任务 的 操作 系统 ， 具 有 很 好 的 稳 
定性 与 安全 性 ， 在 幕后 保障 Linux 系 统 安全 的 则 是 一 系列 复杂 





的 配置 工作 。 本 章 将 详细 讲解 文件 的 所 有 者 、 所 属 组 以 及 其 他 
人 可 对 文件 进行 的 读 CG) 、 写 (w) an HÁT G) 等 操作 ， 以 
及 如 何在 Linux 系 统 中 添加 、 删 除 、 修 改 用 户 账 户 信 息 。 我 们 
还 可 以 使 用 SUID、SGID 与 SBIT 特 殊 权 限 更 加 灵活 地 设置 系统 
权限 功能 ， 来 弥补 对 文件 设置 一 般 操 作 权 限时 所 和 帝 来 的 不 足 。 











隐藏 权限 能 够 给 系统 增加 一 层 隐 形 的 防护 层 ， 让 黑客 最 多 只 能 
查看 关键 日 志 信 息 ， 而 不 能 进行 修改 或 删除 。 而 文件 的 访问 控 
制 列表 (Access Control List, ACL) 可 以 进一步 让 单一 用 户 、 
用 户 组 对 单一 文件 或 目录 进行 特殊 的 权限 设置 ， 让 文件 具有 能 
满足 工作 需求 的 最 小 权限 。 本 章 最 后 还 将 讲解 如 何 使 用 su 命令 
与 sudo 服 务 让 普通 用 户 具 备 管理 员 的 权限 ， 不 仅 可 以 满足 日 常 
的 工作 需求 ， 还 可 以 确保 系统 的 安全 性 。 

















531 用 户 和 号 份 与 能 力 


设计 Linux 系 统 的 初衷 之 一 就 是 为 了 满足 多 个 用 户 同 时 工 
作 的 需求 ， 因 此 Linux 系 统 必须 具备 很 好 的 安全 性 。 第 1 章 在 安 
装 RHEL 7 操作 系统 时 ， 特 别 要 求 设 置 root 官 理 员 密码 ， 这 个 
root 管 理 员 就 是 存在 于 所 有 类 UNIX 系 统 中 的 超级 用 户 。 它 拥有 
最 高 的 系统 所 有 权 ， 能 够 管理 系统 的 各 项 功能 ， 如 添加 /删除 
用 户 、 局 动 /关闭 服务 进程 、 开 局 / 茶 用 硬件 设备 等 。 虽 然 以 
root 管 理 员 的 号 份 工作 时 不 会 受到 系统 的 限制 ， 但 俗语 讲 “ 能 
越 大 ， 责 任 束 越 大 ， 因 此 一 旦 使 用 这 个 高 能 的 root 管 理 员 权限 
执行 了 错误 的 命令 可 能 会 下 接 毁 挥 整个 系统 。 使 用 与 否 ， 确 实 
需要 好 好 权衡 一 下 。 



































在 学 习 时 是 盏 要 使 用 root 管 理 员 权限 来 控制 整个 系统 呢 ? 
面 对 这 个 问题 ， 网 络 上 有 很 多 文章 建议 以 普通 用 户 的 里 份 来 操 
作 一 一 这 古 一 个 更 安全 也 更 “无 黄 任 ”的 回答 。 今 天 ， 刘 遂 老 师 
就 要 冒 天 下 之 大 不 是 给 出 自己 的 心得 一 一 强烈 推荐 大 家 在 学 习 
时 使 用 root 管 理 员 权限 ! 








这 种 为 root 管 理 员 正 名 的 决绝 态度 在 网 络 中 应 该 还 是 很 少 
见 的 ， 我 之 所 以 力 存 root 管 理 员 权限 ， 原 因 很 简单 。 因 为 在 
Linux 的 学 习 过 程 中 如 宁 使 用 普通 用 户 吴 份 进 行 操 作 ， 则 在 配 


























置 服务 之 后 出 现 错误 时 很 难 判 断 是 系统 自身 的 问题 还 是 因为 权 
限 不 足 而 导致 的 ， 这 无 疑 会 给 大 家 的 学 习 过 程 徒 增 坎 坷 。 更 何 
况 我 们 的 实验 环境 是 使 用 VMware 虚拟 机 软件 搭建 的 ， 可 以 将 
安装 好 的 系统 设置 为 一 次 快照 ， 这 即便 系统 彻底 月 渍 了 ， 您 也 
可 以 在 5 秒 钟 的 时 间 内 快速 还 原 出 一 台 全 新 的 系统 ， 而 不 用 担 
心 数据 丢失 。 








总 之 ， 刘 冲 老 师 在 塔 训 时 都 推荐 每 位 学 生 使 用 root 管 理 员 
权限 来 学 习 Linux 系 统 ， 等 到 工作 时 再 根据 生产 环境 决定 使 用 
哪个 用 户 权 限 ， 这 些 仅 与 选择 相关 ， 而 非 技术 性 问题 。 





男 外 ， 很 多 图 书 或 培训 机 构 的 老师 会 讲 到 ，Linux 系 统 中 
的 管理 员 承 是 root。 这 其 实 是 错误 的 ，Linux 系 统 的 管理 员 之 所 
以 是 root， 并 不 是 因为 它 的 名 字 叫 root， 而 是 因为 该 用 户 的 号 
份 号 码 即 UID (User IDentification) 的 数值 为 0。 在 Linux 系 统 
中 ，UID 就 相当 于 我 们 的 身份 证 号 码 一 样 具 有 唯一 性 ， 因 此 可 
通过 用 户 的 UID 值 来 判断 用 户 身 份 。 在 RHEL 7 系统 中 ， 用 户 
身份 有 下 面 这 些 。 











e 管理 员 UID 为 0， 系统 的 管理 员 用 户 。 

。 系 统 用 户 UID 为 1 一 999: Linux 系 统 为 了 避免 因 某 个 服务 
程序 出 现 漏洞 而 被 黑客 提 权 至 整 台 服 务 器 ， 默 认 服 务 程序 
会 有 独立 的 系统 用 户 负 责 运 行 ， 进 而 有 效 控制 被 破坏 范 








围 。 
e 普通 用 户 UID 从 1000 开 始 : 是 由 管理 员 创 建 的 用 于 日 常 工 
作 的 用 户 。 





需要 注意 的 是 ，UID 是 不 能 冲突 的 ， 而 且 管 理 员 创 建 的 普 
通用 户 的 UID 默 认 是 从 1000 开 始 的 《即使 前 面 有 闲置 的 号 
码 ) 。 











为 了 方便 管理 属于 同一 组 的 用 户 ，Linux 系 统 中 还 引入 了 
用 户 组 的 概念 。 通 过 使 用 用 户 组 号 人 码 (GID，Group 
IDentification) ， 我 们 可 以 把 多 个 用 户 加 入 到 同一 个 组 中 ， 从 
而 方便 为 组 中 的 用 户 统 一 规划 权限 或 指定 任务 。 假 设 有 一 个 公 
司 中 有 多 个 部 门 ， 每 个 部 门 中 义 有 很 多 员工 。 如 果 只 想 让 员工 
访问 本 部 门 内 的 资源 ， 则 可 以 针对 部 门 而 非 具 体 的 员工 来 设置 
权限 。 例 如 ， 可 以 通过 对 技术 部 门 设置 权限 ， 使 得 只 有 技术 部 
门 的 员工 可 以 访问 公司 的 数据 库 信息 等 。 
































另外 ， 在 Linux 系 统 中 创建 每 个 用 户 时 ， 将 目 动 创 建 一 个 
与 其 同名 的 基本 用 户 组 ， 而 且 这 个 基本 用 户 组 只 有 该 用 户 一 个 
人 。 如 果 该 用 户 以 后 被 归纳 入 其 他 用 户 组 ， 则 这 个 其 他 用 户 组 
称 之 为 扩展 用 户 组 。 一 个 用 尸 只 有 一 个 基本 用 户 组 ， 但 是 可 以 
有 多 个 扩展 用 户 组 ， 从 而 满足 日 音 的 工作 需要 。 



































5.1.1 useradd 命 令 


useradd 命 令 用 于 创建 新 的 用 户 ， 格 式 为 “useradd [选项 ] 用 
ge Ae 





可 以 使 用 useradd 命 令 创 建 用 户 账户 。 使 用 该 命令 创建 用 户 
账户 时 ， 默 认 的 用 户 家 目录 会 被 存放 在 /home 目 录 中 ， 默 认 的 
Shell 解 释 器 为 /bin/bash， 而 且 默 认 会 创建 一 个 与 该 用 户 同名 的 
基本 用 户 组 。 这 些 默 认 设 置 可 以 根据 表 5-1 中 的 useradd 命 令 参 
数 自行 修改 。 


表 5-1 useradd 命 令 中 的 用 户 参 数 以 及 作用 








指定 用 户 的 家 目录 (默认 为 home/username ) 


账户 的 到 期 时 间 ， 格 式 为 YYYY-MM-DD. 


指定 该 用 户 的 默认 UID 
- 指定 一 个 初始 的 用 户 基 本 组 (必须 已 存在 ) 
指定 一 个 或 多 个 扩展 用 户 组 





-N | 不 创建 与 用 户 同名 的 基本 用 户 组 


指定 该 用 户 的 默认 Shell 解 释 器 





下 面 我 们 创建 一 个 普通 用 户 并 指定 家 目录 的 路 符 、 用 户 的 
UID 以 及 Shell 解 释 器 。 在 下 面 的 命令 中 ， 请 注意 /sbin/nologin， 
已 是 终端 解释 器 中 的 一 员 ， 与 Bash 解 释 器 有 着 天 壤 之 别 。 一 旦 
用 户 的 解释 器 被 设置 为 nologin， 则 代表 该 用 户 不 能 登录 到 系统 
m: 








[root@linuxprobe ~]# useradd -d /home/linux -u 8888 -s 
/sbin/nologin linuxprobe 


[rootglinuxprobe ~]# id linuxprobe 
Uid=8888(linuxprobe) gid=8888(linuxprobe) groups=8888(1 
inuxprobe) 





5.1.2 groupaddfii > 


groupadd 命 令 用 于 创建 用 户 组 ， 格 式 为 “groupadd [选项 ] 群 
组 名 ”。 


为 了 能 够 更 加 高 效 地 指派 系统 中 各 个 用 户 的 权限 ， 在 工作 
中 常常 会 把 几 个 用 户 加 入 到 同一 个 组 里 面 ， 这 样 便 可 以 针对 一 
类 用 户 统 一 安排 权限 。 创 建 用 户 组 的 步骤 非常 简单 ， 例 如 使 用 
如 下 命令 创建 一 个 用 户 组 ronny: 





[root@linuxprobe ~]# groupadd ronny 


5.1.3 usermodfp 2 





usermod 命 令 用 于 修改 用 户 的 属性 ， 格 式 为 “usermod D: 
m] 用 户 名 ”。 


前 文 兽 反 复 强 调 ，Linux 系 统 中 的 一 切 都 是 文件 ， 因 此 在 
系统 中 创建 用 户 也 就 是 修改 配置 文件 的 过 程 。 用 户 的 信息 保存 
在 /etc/passwd 文 件 中 ， 可 以 直接 用 文本 编辑 器 来 修改 其 中 的 用 
户 参 数 项 目 ， 也 可 以 用 usermod 命 令 修改 已 经 创建 的 用 户 信 
息 ， 诸 如 用 户 的 UID、 基 本 /扩展 用 户 组 、 默 认 终 端 等 。 
usermod 命 令 的 参数 以 及 作用 如 表 5-2 所 示 。 











表 5-2 ”usermod 命 令 中 的 参数 及 作用 


填写 用 户 账户 的 备注 信息 








参数 -m 与 参数 -d 连 用 ， 可 重新 指定 用 户 的 家 目录 并 自动 把 旧 的 数 
据 转 移 过 去 








-e | 账户 的 到 期 时 间 ， 格 式 为 YYYY-MM-DD 


变更 所 属 用 户 组 


变更 扩展 用 户 组 


d 
mene 
d 


解锁 用 户 ， 人 允许 其 登录 系统 


变更 默认 终端 





修改 用 户 的 UID 


大 家 不 要 被 这 么 多 参数 吓 二 了。 我 们 先 来 看 一 下 账户 
linuxprobe 的 默认 信息 : 





[root@linuxprobe ~]# id linuxprobe 
uid-1000(linuxprobe) gid-1000(linuxprobe) groups=1000(1 


inuxprobe) 








然后 将 用 户 linuxprobe 加 入 到 root 用 户 组 中 ， 这 样 扩 展 组 列 
表 中 则 会 出 现 root 用 户 组 的 字样 ， 而 基本 组 不 会 受到 影响 : 











[root@linuxprobe ~]# usermod -G root linuxprobe 
[root@linuxprobe ~]# id linuxprobe 

uid-1000(linuxprobe) gid-1000(linuxprobe) groups=1000(1 
inuxprobe) ,@(root) 





再 来 试 试 用 -u 参 数 修改 linuxprobe 用 户 的 UID 号 码 值 。 除 此 
之 外 ， 我 们 还 可 以 用 -g 参 数 修改 用 户 的 基本 组 ID， 用 -G 参 数 修 
改 用 户 扩展 组 ID。 





[root@linuxprobe ~]# usermod -u 8888 linuxprobe 
[root@linuxprobe ~]# id linuxprobe 


Uid=8888(linuxprobe) gid-1000(linuxprobe) groups-1000(1 
inuxprobe),0(root) 





5.1.4 passwd > 


passwd 命 令 用 于 修改 用 户 密码 、 过 期 时 间 、 认 证 信息 等 ， 
格式 为 “passwd [选项 ] [用 户 名 ]”。 


普通 用 户 只 能 使 用 passwd 命 令 修改 日 映 的 系统 密码 ， 而 
root 管 理 员 则 有 权限 修改 其 他 所 有 人 的 密码 。 更 酷 的 是 ，root 
管理 员 nes 统 中 修改 自己 或 他 人 的 密码 时 不 需要 验证 旧 
密码 ， 这 一 点 特别 方便 。 既 然 root 管 理 员 可 以 修改 其 他 用 户 的 
密码 ， Te 的 管理 权限 。passwd 命 令 中 可 用 
的 参数 以 及 作用 如 表 5-3 所 示 。 


表 5-3 ”passwd 命 令 中 的 参数 以 及 作用 


锁定 用 户 ， 茶 止 其 登录 


解除 锁定 ， 人 允许 用 户 登 录 


passwd --stdin Username 


SIA A BY Ad 28 














接 下 来 刘 踪 老师 将 演示 如 何 修改 用 户 目 己 的 密码 ， 以 及 如 
何 修改 其 他 人 的 密码 《修改 他 人 窗 码 时 ， 需 要 具有 root 管 理 员 
BUR) : 





[root@linuxprobe ~]# passwd 
Changing password for user root. 


New password: 此 处 输入 密码 值 


Retype new password: 再 次 输入 进行 确认 

passwd: all authentication tokens updated successfully. 
[root@linuxprobe ~]# passwd linuxprobe 

Changing password for user linuxprobe. 

New password: 此 处 输入 密码 值 

Retype new password: 再 次 输入 进行 确认 

passwd: all authentication tokens updated successfully. 








假设 您 有 位 同事 正在 度假 ， 而 且 假 期 很 长 ， 那 么 可 以 使 用 
passwd 命 令 禁 止 该 用 户 登 录 系 统 ， 等 假期 结束 回归 工作 疯 位 
时 ， 再 使 用 该 命令 允许 用 户 登 录 系 统 ， 而 不 是 将 其 删除 。 这 样 
既 保 证 了 这 段 时 间 内 系统 的 安全 ， 也 避免 了 频 索 添加 、 删 除 用 
户 带 来 的 麻烦 : 











[root@linuxprobe ~]# passwd -1 linuxprobe 

Locking password for user linuxprobe. 

passwd: Success 

[root@linuxprobe ~]# passwd -S linuxprobe 

linuxprobe LK 2017-12-26 0 99999 7 -1 (Password locked. 


) 


[root@linuxprobe ~]# passwd -u linuxprobe 

Unlocking password for user linuxprobe. 

passwd: Success 

[root@linuxprobe ~]# passwd -S linuxprobe 

linuxprobe PS 2017-12-26 @ 99999 7 -1 (Password set, SH 
A512 crypt.) 





5.1.5 userdeli 2 


userdel 命 令 用 于 删除 用 户 ， 格 式 为 “userdel [选项 ] 用 户 


33 
o 








如 果 我 们 确认 某 位 用 户 后 续 不 再 会 登录 到 系统 中 ， 则 可 以 
通过 userdel 命 令 删 除 该 用 户 的 所 有 信息 。 在 执行 删除 操作 时 ， 
该 用 户 的 家 目录 默认 会 保留 下 来 ， 此 时 可 以 使 用 -r 参 数 将 其 删 
除 。userdel 命 令 的 参与 以 及 作用 如 表 5-4 所 示 。 





表 5-4 ”userdel 命 令 的 参数 以 及 作用 


参数 


eee 





同时 删除 用 户 及 用 户 家 目录 


下 面 使 用 userdel 命 令 将 linuxprobe 用 户 删 除 ， 其 操作 如 





des 


[rootglinuxprobe ~]# id linuxprobe 
Uid=8888(linuxprobe) gid-1000(linuxprobe) groups-1000(1 
inuxprobe),0(root) 


[root@linuxprobe ~]# userdel -r linuxprobe 
[root@linuxprobe ~]# id linuxprobe 
id: linuxprobe: no such user 





5.2 文件 权限 与 归属 


尽管 在 Linux 系 统 中 一 切 都 是 文件 ， 但 是 每 个 文件 的 类 型 
不 尽 相 同 ， 因 此 Linux 系 统 使 用 了 不 同 的 字符 来 加 以 区 分 ， 第 
见 的 字符 如 下 所 示 。 





。-: 普通 文件 。 
ed: 目录 文件 。 
el: 链接 文件 。 
e b: 块 设 备 文件 。 
ec: 字符 设备 文件 。 
e p: 管道 文件 。 





在 Linux 系 统 中 ， 每 个 文件 都 有 所 属 的 所 有 者 和 所 有 组 ， 
并 且 规 定 了 文件 的 所 有 者 、 所 有 组 以 及 其 他 人 对 文件 所 拥有 的 
可 读 GO . H[E Cw) 、 可 执行 OO 等 权限 。 对 于 一 般 文件 
来 说 ， 权 限 比 较 容 易 理 解 :“ 可 读 ” 表 示 能 够 谈 取 文件 的 实际 内 
容 ; “可 与 ?表示 能 够 编辑 、 新 增 、 人 修改、 删除 文件 的 实际 内 
容 ; “可 执行 ? 则 表示 能 够 运行 一 个 脚本 程序 。 但 是 ， 对 于 目录 
文件 来 说 ， 理 解 其 权限 设置 来 就 不 那么 容易 了 。 很 多 资深 
Linux 用 户 其 实 也 没有 真正 搞 明 白 。 

















刘 遂 老师 在 这 里 给 大 家 详细 讲解 一 下 目录 文件 的 权限 设 








置 。 对 目录 文件 来 说 , “可 读 ” 表 示 能 够 读 取 目 录 内 的 文件 列 
dé “可 写 ” 表 示 能 够 在 目录 内 新 增 、 删 除 、 重 命名 文件 ; 
而 “可 执行 ? 则 表示 能 够 进入 该 目录 。 








文件 的 读 、 写 、 执 行 权 限 可 以 简写 为 rwx， 亦 可 分 别 用 数 
字 4、2、1 来 表示 ， 文 件 所 有 者 ， 所 属 组 及 其 他 用 户 权 限 之 间 
无 关联 ， 如 表 5-5 所 示 。 


表 5-5 ”文件 权限 的 字符 与 数字 表示 


分 | 文件 所 有 文件 所 属 id 
配 者 组 











"L| 


文件 权限 的 数字 法 表示 基于 字符 表示 (rwx) 的 权限 计算 

















而 来 ， 其 目的 是 简化 权限 的 表示 。 人 例如， 大 有 茶 个 文件 的 权限 





为 7 则 代表 可 读 、 可 写 、 可 执行 (4+2+1) ; 若 权 限 为 6 则 代表 
可 读 、 可 写 (4+2) 。 我 们 来 看 这 样 一 个 例子 。 现 在 有 这 样 一 
个 文件 ， 其 所 有 者 拥有 可 读 、 可 写 、 可 执行 的 权限 ， 其 文件 所 
属 组 拥有 可 读 、 可 写 的 权限 ; 而 且 其 他 人 只 有 可 读 的 权限 。 那 
么 ， 这 个 文件 的 权限 就 是 rwxrw-r--， 数 字 法 表示 即 为 764。 不 
过 大 家 干 万 再 将 这 三 个 数字 相 加 ， 计 算出 7+6+4=17 的 结果 ， 
这 是 小 学 的 数学 加 减法 ， 不 是 Linux 系 统 的 权限 数字 表示 法 ， 
= ZA BOB A A. 

















Linux 系 统 的 文件 权限 相当 复杂 ， 但 是 用 途 很 广泛 ， 建 议 
大 家 把 它 彻底 搞 清 楚 之 后 再 学 习 下 一 节 的 内 容 。 现 在 来 练习 一 
下 。 请 各 位 读者 分 别 计算 数字 表示 法 764、642、153、731 所 对 
应 的 字符 表示 法 ， 然 后 再 把 rwxrw-rr--、rw--w--wX、Tw-T--T-- 转 
换 成 数字 表示 法 。 

















下 面 我 们 利用 上 文 讲解 的 知识 ， 一 起 分 析 图 5-1 中 所 示 的 
文件 信息 。 


| [root@linuxprobe~}# Is -I install.log | 
| -rw-r--r-- 1 root root 34298 04-02 00:23  install.log | 


文件 类 型 WR BE Bee 
图 5-1 通过 ls 命令 查看 到 的 文件 属性 信息 
在 图 5-1 中 ， 包 含 了 文件 的 类 型 、 访 问 权 限 、 所 有 者 ( 属 


主 ) 、 所 属 组 〈 属 组 ) 、 占 用 的 磁盘 大 小 、 修 改 时 间 和 文件 名 
称 等 信息 。 通 过 分 析 可 知 ， 该 文件 的 类 型 为 普通 文件 ， 所 有 者 
权限 为 可 读 、 可 写 〈rw-) ， 上 所 属 组 权限 为 可 读 G--) ， 除 此 
以 外 的 其 他 人 也 只 有 可 读 权限 〈r-) ， 文 件 的 磁盘 占用 大 小 是 
34298-F i, imr UR AE CIN Te) N42 ee e230), SCF 
的 名 称 为 install.log。 

















5.3 文件 的 特殊 权限 


在 复杂 多 变 的 生产 环境 中 ， 单 纯 设 置 文件 的 rwx 权 限 无 法 
满足 我 们 对 安全 和 有 灵活 性 的 需求 ， 因 此 便 有 了 SUID、SGID 与 
SBIT 的 特殊 权限 位 。 这 aa a 








能 ， 可 以 与 一 般 权 限 同 时 使 用 ， 以 弥补 一 般 权限 不 能 实现 的 功 
能 。 wan， 能 以 及 用 法 。 
5.3.1 SUID 


SUID 是 一 种 对 二 进 制程 序 进行 设置 的 特殊 权限 ， 可 以 让 
二 进 制 程序 的 执行 者 临时 拥有 属 主 的 权限 “〈 仅 对 拥有 执行 权限 
的 二 进 制程 序 有 效 ) 。 例 如 ， 所 有 用 户 都 可 以 执行 passwd 命 令 
来 修改 自己 的 用 户 密 码 ， 而 用 户 密 码 保存 在 /etc/shadow 文 件 
中 。 人 和 仔细 查看 这 个 文件 就 会 发 现 它 的 默认 权限 是 000， 也 就 是 
说 除 了 root 管 理 员 以 外 ， 所 有 用 户 都 没有 得 看 或 编辑 该 文件 的 
权限 。 但 是 ， 在 使 用 passwd 命 令 时 如 果 加 上 SUID 特 殊 权限 
位 ， 就 可 让 普通 用 户 临 时 获得 程序 所 有 者 的 身份 ， 把 变更 的 密 
码 信息 写 入 到 shadow 文 件 中 。 这 很 像 我 们 在 古装 剧 中 见 到 的 手 
持 尚 方 宝剑 的 钦差 大 臣 ， 他 手持 的 尚方 宝剑 代表 的 是 星 上 的 权 
威 ， 因 此 可 以 惩戒 仿 官 ， 但 这 并 不 意味 着 他 永久 成 为 了 星 上 。 
因此 这 只 是 一 种 有 条 件 的 、 临 时 的 特殊 权限 授权 方法 。 





























租 看 passwd 命 令 属性 时 发 现 所 有 者 的 权限 由 rwx 变 成 了 
rws， 其 中 x 改变 成 s 束 意味 着 该 文件 被 赋予 了 SUID 权 限 。 男 外 
有 读者 会 好 奇 ， 那 么 如 果 原 本 的 权限 是 rw- 呢 ?如 果 原 先 权限 
位 上 没有 x 执行 权限 ， 那 么 被 赋予 特殊 权限 后 将 变 成 大 写 的 5。 








[root@linuxprobe ~]# ls -1 /etc/shadow 
. 1 root root 1004 Jan 3 06:23 /etc/shadow 


[root@linuxprobe ~]# ls -1 /bin/passwd 
-rwsr-xr-x. 1 root root 27832 Jan 29 2017 /bin/passwd 





9.3.2 SGID 


SGID 主 要 实现 如 下 两 种 功能 : 





e 让 执行 者 临时 拥有 属 组 的 权限 “对 拥有 执行 权限 的 二 进 制 
程序 进行 设置 ) ; 

。 在 菏 个 目录 中 创建 的 文件 目 动 继承 该 目录 的 用 尸 组 〈 只 可 
以 对 目录 进行 设置 ) 。 











SGID 的 第 一 种 功能 是 参考 SUID 而 设计 的 ， 不 同 点 在 于 执 
行程 序 的 用 户 获 取 的 不 再 是 文件 所 有 者 的 临时 权限 ， 而 是 获取 
到 文件 所 属 组 的 权限 。 举 例 来 说 ， 在 早期 的 Linux 系 统 
中 ，/devwkmem 是 一 个 字符 设备 文件 ， 用 于 存储 内 核 程序 要 访 
问 的 数据 ， 权 限 为 : 











cr--nr----- 1 root system 2, 1 Feb 11 2017 kmem 


大 家 看 出 问题 了 吗 ? 除 了 root 管 理 员 或 属于 system 组 成 员 
外 ， 所 有 用 户 都 没有 读 取 该 文件 的 权限 。 由 于 在 平时 我 们 需要 
查看 系统 的 进程 状态 ， 为 了 能 够 获取 到 进程 的 状态 信息 ， 可 在 
用 于 查看 系统 进程 状态 的 ps 命令 文件 上 增加 SGID 特 殊 权 限 
位 。 得 看 ps 命令 文件 的 属性 信息 : 


-r-xr-sr-x 1 bin system 59346 Feb 11 2017 ps 


这 样 一 来 ， 由 于 ps 命令 被 增加 了 SGID 特 殊 权 限 位 ， 所 以 
当 用 户 执 行 该 命令 时 ， 也 就 临时 获取 到 了 system 用 户 组 的 权 
限 ， 从 而 可 以 顺利 地 读 取 设备 文件 了 。 














前 文 扣 到， 每 个 文件 都 有 其 归属 的 所 有 者 和 所 属 组 ， 当 创 
建 或 传送 一 个 文件 后 ， 这 个 文件 融会 目 动 归 属于 执行 这 个 操作 
的 用 户 《“ 即 该 用 户 是 文件 的 所 有 者 ) 。 如 宁 现 在 需要 在 一 个 部 
门 内 设置 共 孚 目录 ， 让 部 门 内 的 所 有 人 员 都 能 够 读 取 目录 中 的 
内 容 ， 那 么 就 可 以 创建 部 门 共 孚 目录 后 ， 在 该 目录 上 设置 
SGID 特 殊 权 限 位 。 这 样 ， 部 门 内 的 任何 人 员 在 里 面 创建 的 任 
何 文件 都 会 归属 于 该 目录 的 所 属 组 ， 而 不 再 是 目 己 的 基本 用 户 
组 。 此 时 ， 我 们 用 到 的 就 是 SGID 的 第 二 个 功能 ， 即 在 某 个 目 
录 中 创建 的 文件 目 动 继承 该 目录 的 用 户 组 〈 只 可 以 对 目录 进行 
设置 ) 。 


[root@linuxprobe ~]# cd /tmp 






































[root@linuxprobe tmp]# mkdir testdir 
[root@linuxprobe tmp]# ls -ald testdir/ 
drwxr-xr-x. 2 root root 6 Feb 11 11:50 testdir/ 
[root@linuxprobe tmp]# chmod -Rf 777 testdir/ 
[root@linuxprobe tmp]# chmod -Rf g+s testdir/ 
[root@linuxprobe tmp]# ls -ald testdir/ 
drwxrwsrwx. 2 root root 6 Feb 11 11:50 testdir/ 








在 使 用 上 述 命令 设置 好 目录 的 777 权 限 〔 确 保 普 通用 户 可 
以 问 其 中 写 入 文件 ) ， 并 为 该 目录 设置 了 SGID 特 殊 权 限 位 
后 ， 就 可 以 切换 至 一 个 普通 用 户 ， 然 后 尝试 在 该 目录 中 创建 文 
件 ， 并 奋 看 新 创建 的 文件 是 否 会 继承 新 创建 的 文件 所 在 的 目录 
的 所 属 组 名 称 : 











[root@linuxprobe tmp]# su - linuxprobe 
Last login: Wed Feb 11 11:49:16 CST 2017 on pts/6 
[linuxprobeQlinuxprobe ~]$ cd /tmp/testdir/ 


[linuxprobeQlinuxprobe testdir]$ echo "linuxprobe.com" 
» test 

[linuxprobeQlinuxprobe testdir]$ ls -al test 
-rw-rw-r--. 1 linuxprobe root 15 Feb 11 11:50 test 





除了 上 面 提 到 的 SGID 的 这 两 个 功能 ， 我 们 再 介绍 两 个 与 
本 小 节 内 容 相 关 的 命令 : chmod 和 chown。 





chmod 命 令 是 一 个 非常 实用 的 命令 ， 能 够 用 来 设置 文件 或 
目录 的 权限 ， 格 式 为 “chmod [参数 ] 权限 文件 或 目录 名 称 ”。 如 
果 要 把 一 个 文件 的 权限 设置 成 其 所 有 者 可 读 可 写 可 执行 、 所 属 




















组 可 读 可 、 其 他 人 没有 任何 权限 ， 则 相应 的 字符 法 表示 为 
rwxrw----， 其 对 应 的 数字 法 表示 为 760。 通 过 前 面 的 基础 学 习 
和 当前 的 练习 实践 ， 现 在 大 家 可 以 感受 到 使 用 数字 法 来 设置 广 
件 权限 的 便捷 性 了 吧 。 





[root@linuxprobe ~]# ls -al test 
-rw-rw-r--. 1 linuxprobe root 15 Feb 11 11:50 test 
[root@linuxprobe ~]# chmod 760 test 


[root@linuxprobe ~]# ls -1 test 
-rwxrw----. 1 linuxprobe root 15 Feb 11 11:50 test 











除了 设置 文件 或 目录 的 权限 外 ， 还 可 以 设置 文件 或 目录 的 
所 有 者 和 上 所属 组 ， 这 里 使 用 的 命令 为 coown， 其 格式 为 “chown 
[参数 ] 所 有 者 :所 属 组 文件 或 目录 名 称 ”。 




















chmod 和 chown 命 令 是 用 于 修改 文件 属性 和 权限 的 最 常用 
命令 ， 它 们 还 有 一 个 特别 的 共性 ， 就 是 针对 目录 进行 操作 时 需 
要 加 上 大 写 参 数 -R 来 表示 递归 操作 ， 即 对 目录 内 所 有 的 文件 进 
行 整体 操作 。 





[root@linuxprobe ~]# ls -1 test 
-rwxrw----. 1 linuxprobe root 15 Feb 11 11:50 test 


[root@linuxprobe ~]# chown root:bin test 
[root@linuxprobe ~]# ls -1 test 
-rwxrw----. 1 root bin 15 Feb 11 11:50 test 





5.3.9 SBIT 





现在 ， 大 学 里 的 很 多 老师 都 要 求学 生 将 作业 上 传 到 服务 器 
的 特定 共享 目录 中 ， 但 总 是 有 几 个 “破坏 分 子 ” 喜 欢 删 除 其 他 同 
学 的 作业 ， 这 时 就 要 设置 SBIT (Sticky Bit) 特殊 权限 位 了 

(也 可 以 称 之 为 特殊 权限 位 之 粘 沾 位 )，。SBIT 特 殊 权限 位 可 
确保 用 户 只 能 删除 自己 的 文件 ， 而 不 能 删除 其 他 用 户 的 文件 。 
换 句 话说 ， 当 对 某 个 目录 设置 了 SBIT 粘 滞 位 权限 后 ， 那 么 该 
目录 中 的 文件 就 只 能 被 其 所 有 者 执行 删除 操作 了 。 


























最 初 不 知道 是 哪 位 非 资深 技术 人 员 将 Sticky Bit EER 
了 了 “ 粘 清 位 >， 刘 站 老 师 建 议 将 其 称 为 “保护 位 >， 这 既 好 记 ， 又 
能 立刻 让 人 了 解 它 的 作用 。RHEL 7 系统 中 的 /tmp 作 为 一 个 共 
译文 件 的 目录 ， 默 认 己 经 设置 了 SBIT 特 殊 权 限 位 ， 因 此 除非 
征 该 目录 的 所 有 者 ， 人 否则 无 法 删除 这 里 面 的 文件 。 





与 前 面 所 讲 的 SUID 和 SGID 权 限 显示 方法 不 同 ， 当 目录 被 
设置 SBIT 特 殊 权 限 位 后 ， 文 件 的 其 他 人 权限 部 分 的 x 执 行 权 限 
就 会 被 蔡 换 成 t 或 者 T， 原 本 有 x 执行 权限 则 会 写成 :， 原 本 没有 
x 执行 权限 则 会 被 写成 T。 








[root@linuxprobe tmp]# su - linuxprobe 

Last login: Wed Feb 11 12:41:20 CST 2017 on pts/6 
[linuxprobe@linuxprobe tmp]$ ls -ald /tmp 
drwxrwxrwt. 17 root root 4096 Feb 11 13:03 /tmp 
[linuxprobeQlinuxprobe ~]$ cd /tmp 
[linuxprobeQlinuxprobe tmp]$ ls -ald 

drwxrwxrwt. 17 root root 4096 Feb 11 13:03. 


[linuxprobe@linuxprobe tmp]$ echo "Welcome to linuxprob 
e.com" > test 

[linuxprobeQlinuxprobe tmp]$ chmod 777 test 
[linuxprobe@linuxprobe tmp]$ 1s -al test 

-rwxrwxrwx. 1 linuxprobe linuxprobe 10 Feb 11 12:59 test 





其 实 ， 文 件 能 否 被 删除 并 不 取决 于 上 自 喘 的 权限 ， 而 是 看 其 
所 在 目录 是 否 有 写 入 权限 (其 原理 会 在 下 个 章 市 讲 到 ) 。 为 了 
避免 现在 很 多 读者 不 放心 ， 所 以 上 面 的 命令 还 是 赋予 了 这 个 
test 文 件 最 大 的 777 权 限 (rwxrwxrwx) 。 我 们 切换 到 另外 一 个 
普通 用 户 ， 然 后 尝试 删除 这 个 其 他 人 创建 的 文件 就 会 发 现 ， 即 
便 读 、 写 、 执 行 权限 全 开 ， 但 是 由 于 SBIT 特 殊 权 限 位 的 毕 
故 ， 依 然 无 法 删除 该 文件 : 























[root@linuxprobe tmp]# su - blackshield 
Last login: Wed Feb 11 12:41:29 CST 2017 on pts/1 
[blackshield@linuxprobe ~]$ cd /tmp 


[blackshield@linuxprobe tmp]$ rm -f test 
rm: cannot remove *test?: Operation not permitted 














当然 ， 要 是 也 想 对 其 他 目录 来 设置 SBIT 特 殊 权 限 位 ， 用 
chmod 命 令 就 可 以 了 。 对 应 的 参数 o+t 代 表 设 置 SBIT 粘 滞 位 权 
限 : 





[blackshield@linuxprobe tmp]$ exit 
Logout 

[root@linuxprobe tmp]# cd ~ 
[root@linuxprobe ~]# mkdir linux 


[root@linuxprobe ~]# chmod -R o+t linux/ 
[root@linuxprobe ~]# ls -ld linux/ 
drwxr-xr-t. 2 root root 6 Feb 11 19:34 linux/ 





5.4 文件 的 隐藏 属性 


Linux 系 统 中 的 文件 除了 具备 一 般 权 限 和 特殊 权限 之 外 ， 
还 有 一 种 隐藏 权限 ， 即 被 隐藏 起 来 的 权限 ， 默 认 情 况 下 不 能 
接 被 用 户 发 党 。 有 用 户 兽 经 在 生产 环境 和 RHCE 考试 题目 中 位 
到 过 明明 权限 充足 但 却 无 法 删除 某 个 文件 的 情况 ， 或 者 仅 能 在 
日 志文 件 中 人 退 加 内 容 而 不 能 修改 或 删除 内 容 ， 这 在 一 定 程 度 上 
阻止 了 黑客 复 改 系统 日 志 的 网 谍 ， 因 此 这 种 “奇怪 ”的 文件 也 保 
障 了 Linux 系 统 的 安全 性 。 











5.4.1 chattrís 


chattr 命 令 用 于 设置 文件 的 隐藏 权限 ， 格 式 为 “chattr [参数 ] 
文件 ”。 如 果 想 要 把 某 个 隐藏 功能 添加 到 文件 上 ， 则 需要 在 命 
令 后 面 奶 加 “+ 参数 "， 如 果 想 要 把 某 个 隐藏 功能 移出 文件 ， 则 
需要 退 加 “- 参 数 ”。chattr 命 令 中 可 供 选 择 的 隐藏 权限 参数 非 弟 
丰富 ， 具 体 如 表 5-6 所 示 。 














表 5-6 chattr 命 令 中 用 于 隐藏 权限 的 参数 及 其 作用 








S 





无 法 对 文件 进行 修改 ， 辱 对 目录 设置 了 该 参数 ， 则 仪 能 修改 其 中 
的 子 文 件 内 容 而 不 能 新 建 或 删除 文件 


仅 允 许 补 充 〈 追 加 ) 内 容 ， 无 法 覆盖 /删除 内 容 (Append Only) 





文件 内 容 在 变更 后 立即 同步 到 硬 租 〈sync ) 


彻底 从 硬盘 中 删除 ， 不 可 恢复 (用 0 填充 原文 件 所 在 硬盘 区 域 ) 





不 再 修改 这 个 文件 或 目录 的 最 后 访问 时 间 (atime) 





不 再 修改 文件 或 目录 的 存 取 时 间 


检查 压缩 文件 中 的 错误 


使 用 dump 命 令 备份 时 忽略 本 文件 /目录 





默认 将 文件 或 目录 进行 压缩 


当 删 除 该 文件 后 依然 保留 其 在 硬盘 中 的 数据 ， 方 便 日 后 恢复 


让 文件 系统 支持 尾部 合并 Ctail-merging) 





x | 可 以 直接 访问 压缩 文件 中 的 内 容 








为 了 让 读者 能 够 更 好 地 见识 隐藏 权限 的 效果 ， 我 们 先 来 创 
建 一 个 普通 文件 ， 然 后 立即 答 试 删除 “这 个 操作 肯定 会 成 
功 ) : 


[root@linuxprobe ~]# echo "for Test" > linuxprobe 


[root@linuxprobe ~]# rm linuxprobe 
rm: remove regular file ‘linuxprobe’? y 








实践 是 检验 真理 的 唯一 标准 。 如 果 您 没有 亲眼 见证 过 隐藏 
权限 强大 功能 的 美妙 ， 就 一 定 不 会 相信 穆 来 Linux 系 统 会 如 此 
安全 。 接 下 来 我 们 再 次 新 建 一 个 普通 文件 ， 并 为 其 设置 不 允许 
删除 与 窗 庆 (+a 参 数 ) 权限 ， 然 后 再 尝试 将 这 个 文件 删除 : 











[root@linuxprobe ~]# echo "for Test" > linuxprobe 
[root@linuxprobe ~]# chattr +a linuxprobe 


[root@linuxprobe ~]# rm linuxprobe 
rm: remove regular file ‘linuxprobe’? y 
rm: cannot remove ‘linuxprobe’: Operation not permitted 





可 见 ， 上 述 操 作 失 败 了 。 
5.4.2 ”lsattr 命 令 


lsattr 命 令 用 于 显示 文件 的 隐藏 权限 ， 格 式 为 "sattr [参数 ] 





文件 ”"。 在 Linux 系 统 中 ， 文 件 的 隐藏 权限 必须 使 用 lsattr 命 令 来 
查看 ， 平 时 使 用 的 ls 之 类 的 命令 则 看 不 出 端倪 : 





[root@linuxprobe ~]# ls -al linuxprobe 





-rw-r--r--. 1 root root 9 Feb 12 11:42 linuxprobe 


一 且 使 用 lsattr 命 令 后 ， 文 件 上 被 赋予 的 隐藏 权限 马上 就 会 
原形 毕露 。 此 时 可 以 按照 显示 的 隐藏 权限 的 类 型 CB , fu 
用 chattr 命 令 将 其 去 挥 : 








[root@linuxprobe ~]# lsattr linuxprobe 
ire a---------- linuxprobe 
[rootglinuxprobe ~]# chattr -a linuxprobe 


[root@linuxprobe ~]# lsattr linuxprobe 
linuxprobe 

[rootglinuxprobe ~]# rm linuxprobe 

rm: remove regular file ‘linuxprobe’? y 





5.5 文件 访问 控制 列表 


不 知道 大 家 是 否 发 现 ， 前 文 讲解 的 一 般 权 限 、 特 殊 权 限 、 
隐藏 权限 其 实 有 一 个 共性 一 一 权限 是 针对 某 一 类 用 户 设 置 的 。 
如 采 硕 望 对 某 个 指定 的 用 户 进行 单独 的 权限 控制 ， 就 需要 用 到 
文件 的 访问 控制 列表 CACL) 了 。 通 俗 来 讲 ， 基 于 普通 文件 或 
目录 设置 ACL 其 实 束 是 针对 指定 的 用 户 或 用 户 组 设置 文件 或 目 
录 的 操作 权限 。 男 外 ， 如 果 针 对 某 个 目录 设置 了 ACL， 则 目录 
中 的 文件 会 继承 其 ACL; 若 针 对 文件 设置 了 ACL， 则 文件 不 再 
继承 其 所 在 目录 的 ACL。 


























为 了 更 直观 地 看 到 ACL 对 文件 权限 控制 的 强大 效果 ， 我 们 
先 切换 到 普通 用 户 ， 然 后 尝试 进入 root 管 理 员 的 家 目录 中 。 在 
没有 针对 普通 用 户 对 root 管 理 员 的 家 目录 设置 ACL 之 前 ， 其 执 
行 结 果 如 下 所 示 : 


[root@linuxprobe ~]# su - linuxprobe 
Last login: Sat Mar 21 16:31:19 CST 2017 on pts/0 


[linuxprobeQlinuxprobe ~]$ cd /root 
-bash: cd: /root: Permission denied 
[linuxprobeQlinuxprobe root]$ exit 





5.5.1 setfacláj 





setfacl 命 令 用 于 管理 文件 的 ACL 规 则 ， 格 式 为 “setfacl [Z2 


BU 文件 名 称 ”。 文 件 的 ACL 提 供 的 是 在 所 有 者 、 所 属 组 、 其 他 
人 的 读 / 写 /执行 权限 之 外 的 特殊 权限 控制 ， 使 用 setfacl 命 令 可 
以 针对 单一 用 户 或 用 户 组 、 单 一 文件 或 目录 来 进行 读 / 写 /执行 
权限 的 控制 。 其 中 ， 针 对 目录 文件 需要 使 用 -R 递 归 参 数 ， 针 对 
普通 文件 则 使 用 -m 参 数 ， 如 末 想 要 删除 茶 个 文件 的 ACL， 则 可 
以 使 用 -b 参 数 。 下 面 来 设置 用 户 在 /root 目 录 上 的 权限 : 














[root@linuxprobe ~]# setfacl -Rm u:linuxprobe:rwx /root 
[root@linuxprobe ~]# su - linuxprobe 

Last login: Sat Mar 21 15:45:03 CST 2017 on pts/1 
[linuxprobeQlinuxprobe ~]$ cd /root 


[ linuxprobe@linuxprobe root]$ 1s 

anaconda-ks.cfg Downloads Pictures Public 

[ linuxprobe@linuxprobe root]$ cat anaconda-ks.cfg 
[linuxprobeQlinuxprobe root]$ exit 























是 不 是 觉得 效果 很 酪 呢 ? 但 是 现在 有 这 样 一 个 小 问题 一 一 
怎么 去 查看 文件 上 有 那些 ACL 呢 ?常用 的 ls 命令 是 看 不 到 ACL 
表 信 息 的 ， 但 是 却 可 以 看 到 文件 的 权限 最 后 一 个 点 〈.) 变 成 
了 加 号 (+) ,这 就 意味 着 该 文件 已 经 设置 了 ACL 了。 现在 大 家 
是 不 是 感觉 学 得 越 多 ， 越 不 敢 说 自己 精通 Linux 系 统 了 吧 ? 就 
这 么 一 个 不 起 眼 的 点 C) ， 竟 然 还 表示 这 么 一 种 重要 的 权 
限 。 


[root@linuxprobe ~]# ls -1d /root 
dr-xrwx---+ 14 root root 4096 May 4 2017 /root 














5.5.2 ”getfacl 命 令 


getfacl 命 令 用 于 显示 文件 上 设置 的 ACL 人 信息， 格式 
为 “getfacl 文件 名 称 ”。Linux 系 统 中 的 命 eines MA BM 
好 记 。 想 要 设置 ACL， 用 的 是 setfadl 命 令 ;， 要 想 查 看 ACL， 则 
用 的 是 getfacl 命 令 。 下 面 使 用 md: 令 显 示 在 root 管 理 员 家 目 
录 上 设置 的 所 有 ACL 信 息 。 


[root@linuxprobe ~]# getfacl /root 

getfacl: Removing leading '/' from absolute path names 
# file: root 

# owner: root 

# group: root 


user: :r-X 
user: Linuxprobe: rwx 
group: :r-x 
mask: : rwx 
other::--- 





5.6 ”su 命令 与 sudo 服 务 





各 位 读者 在 实验 环境 中 很 少 过 到 安全 问题 ， 并 有 旦 为 了 避免 
因 权 限 因 素 导 致 配置 服务 失败 ， 从 而 建议 使 用 root 管 理 员 来 学 
习 本 书 ， 但 是 在 生产 环境 中 还 是 要 对 安全 多 一 份 敬 长 之 心 ， 不 
要 用 root 管 理 员 去 做 所 有 事情 。 因 为 一 旦 执行 了 错误 的 命令 ， 
可 能 会 直接 导致 系统 月 涡 ， 这 样 一 来 ， 不 但 客户 指 黄 、 领 导 批 
评 ， 没 准 奖 金 也 会 鸡 飞 重 打 。 但 转 头 一 想 ， 尽 管 Linux 系 统 为 
了 安全 性 考虑 ， 使 得 许多 系统 命令 和 服务 只 能 被 root 管 理 员 来 
使 用 ， 但 是 这 也 让 普通 用 户 受 到 了 更 多 的 权限 束缚 ， 从 而 导致 
无 法 顺利 完成 特定 的 工作 任务 。 






































A> 


u 命 令 可 以 解决 切换 用 户 号 份 的 需求 ， 使 得 当前 用 户 在 不 


[root@linuxprobe ~]# id 
Uid=@(root) gid=@(root) groups-e(root) 


[root@linuxprobe ~]# su - linuxprobe 

Last login: Wed Jan 4 01:17:25 EST 2017 on pts/0 
[linuxprobe@linuxprobe ~]$ id 

uid-1000(linuxprobe) gid-1000(linuxprobe) groups=1000(1 
inuxprobe) context-unconfined 

u:unconfined r:unconfined t:s0-s0:c0.c1023 











细心 的 读者 一 定 会 有 发现， 上面 的 su 命令 与 用 户 名 之 间 有 一 
个 减 号 〈-) ， 这 意味 着 完 全 切换 到 新 的 用 户 ， 即 把 环境 变量 
信息 也 变更 为 新 用 户 的 相应 信息 ， 而 不 是 保留 原始 的 信息 。 强 
烈 建议 在 切换 用 户 身 份 时 添加 这 个 减 号 〈-) 。 























另外 ， 当 从 root 管 理 员 切换 到 普通 用 户 时 是 不 需要 密码 验 
证 的 ， 而 从 普通 用 户 切 换 成 root 管 理 员 就 需要 进行 密码 验证 
f: 这 也 是 一 个 必要 的 安全 检查 : 


[ linuxprobe@linuxprobe root]$ su root 

Password: 

[root@linuxprobe ~]# su - linuxprobe 

Last login: Mon Aug 24 19:27:09 CST 2017 on pts/6 


[linuxprobeQlinuxprobe ~]$ exit 
logout 
[root@linuxprobe ~]# 











尽管 像 上 面 这 样 使 用 su 命令 后 ， 普 通用 户 可 以 完全 切换 到 
root 管 理 员 吴 份 来 完成 相应 工作 ， 但 这 将 骏 露 root 管 理 员 的 密 
码 ， 从 而 增 大 了 系统 密码 被 黑客 获取 的 几率 ; 这 并 不 是 最 安全 
的 方案 。 








刘 毅 老师 接 下 来 将 介绍 如 何 使 用 sudo 命 令 把 特定 命令 的 执 
行 权限 赋予 给 指定 用 户 ， 这 样 既 可 保证 普通 用 户 能 够 完成 特定 
的 工作 ， 也 可 以 避免 泄露 root 管 理 员 密码 。 我 们 要 做 的 就 是 合 
理 配置 sudo 服 务 ， 以 便 兼 顾 系 统 的 安全 性 和 用 户 的 便捷 性 。 














sudo 服 务 的 配置 原则 也 很 简单 一 一 在 保证 普通 用 户 完 成 相应 工 
作 的 前 提 下 ， 尺 可 能 少 地 赋予 额外 的 权限 。 





sudo 命 令 用 于 给 普通 用 户 提 供 额 外 的 权限 来 完成 原本 root 
管理 员 才 能 完成 的 任务 ， 格 式 为 “sudo [参数 ] 命令 名 称 ”。sudo 
务 中 可 用 的 参数 以 及 相应 的 作用 如 表 5-7 所 示 。 








表 5-7 ”sudo 服 务 中 的 可 用 参数 以 及 作用 


在 后 台 执 行 指定 的 命令 








-p 更 改 询问 密码 的 提示 语 


总 结 来 说 ，sudo 命 令 具 有 如 下 功能 





e 限制 用 户 执行 指定 的 命令 : 

。 记 录用 户 执行 的 每 一 条 命令 ; 

e 配置 文件 Cetc/sudoers) 提供 集中 的 用 户 管理 、 权 限 与 主 
机 等 参数 ; 

e 验证 密码 的 后 5 分 钟 内 《默认 值 ) 无 须 再 让 用 户 再 次 验证 
密 个 。 














当然 ， 如 果 担 心 直 接 修改 配置 文件 会 出 现 问 题 ， 则 可 以 使 
用 sudo 命 令 提 供 的 visudo 命 令 来 配置 用 户 权 限 。 这 条 命令 在 配 
置 用 户 权 限时 将 禁止 多 个 用 户 同 时 修改 sudoers 配 置 文 件 ， 还 可 
以 对 配置 文件 内 的 参数 进行 语法 检查 ， 并 在 发 现 参数 错误 时 进 
行 报错 。 








只 有 root 管 理 员 才 可 以 使 用 visudo 命 令 编 辑 sudo 服 务 的 配置 文件 。 











visudo: >>> /etc/sudoers: syntax error near line 111 <<< 


What now? 


Options are: 

(e)dit sudoers file again 

(x)it without saving changes to sudoers file 
(Q)uit and save changes to sudoers file (DANGER! ) 








使 用 visudo 命 令 配置 sudo 命 令 的 配置 文件 时 ， 其 操作 方法 
与 Vim 编 辑 器 中 用 到 的 方法 一 致 ， 因 此 在 编写 完成 后 记得 在 末 
行 模式 下 保存 并 退出 。 在 sudo 命 令 的 配置 文件 中 ， 按 照 下 面 的 
格式 将 第 99 行 (大 约 ) 填写 上 指定 的 信息 : 











谁 可 以 使 用 “允许 使 用 的 主机 = 〈 以 谁 的 身份 ) ”可 执行 
命令 的 列表 


[root@linuxprobe ~]# visudo 
96 ## 


97 ## Allow root to run any commands anywhere 
98 root ALL=(ALL) ALL 
99 linuxprobe ALL=(ALL) ALL 








在 填写 完毕 后 记得 要 先 保存 再 退出 ， 然 后 切换 至 指定 的 普 
通用 户 身份 ， 此 时 就 可 以 用 sudo -1 命令 查看 到 所 有 可 执行 的 命 
令 了 《〈 下 面 的 命令 中 ， 验 证 的 是 该 普通 用 户 的 密码 ， 而 不 是 
root 管 理 员 的 密码 ， 请 读者 不 要 搞 混 了 ) : 








[root@linuxprobe ~]# su - linuxprobe 

Last login: Thu Sep 3 15:12:57 CST 2017 on pts/1 
[linuxprobe@linuxprobe ~]$ sudo -1 

[sudo] password for Linuxprobe: 此 处 输入 Linuxprobe 用 户 的 


密码 

Matching Defaults entries for linuxprobe on this host: 
requiretty, !visiblepw, always set home, env reset, env 
 keepz" COLORS 

DISPLAY HOSTNAME HISTSIZE INPUTRC KDEDIR LS COLORS", en 
v_keep+="MAIL PS1 

PS2 QTDIR USERNAME LANG LC ADDRESS LC CTYPE", env keep- 
-"LC COLLATE 

LC IDENTIFICATION LC MEASUREMENT LC MESSAGES", env keep 
+="LC_ MONETARY 

LC NAME LC NUMERIC LC PAPER LC TELEPHONE", env_keep+="L 
C TIME LC ALL 

LANGUAGE LINGUAS XKB CHARSET XAUTHORITY", 
secure_path=/sbin\:/bin\:/usr/sbin\:/usr/bin 

User linuxprobe may run the following commands on this 
host: 

(ALL) ALL 











接 下 来 是 见证 奇迹 的 时 刻 ! 作为 一 名 普通 用 户 ， 有 是 肯定 不 
能 看 到 root 管 理 员 的 家 目录 Croot) 中 的 文件 信息 的 ， 但 是 ， 
只 需要 在 想 执行 的 命令 前 面 加 上 sudo 命 令 就 可 以 了 : 
[linuxprobe@linuxprobe ~]$ 1s /root 


ls: cannot open directory /root: Permission denied 
[ linuxprobe@linuxprobe ~]$ sudo ls /root 


anaconda-ks.cfg Documents initial-setup-ks.cfg Pictures 
Templates 
Desktop Downloads Music Public Videos 





BRIEF SUG | 但 是 考虑 到 生产 环境 中 不 允许 某 个 普通 用 
户 拥有 整个 系统 中 所 有 命令 的 最 高 执行 权 《〈 这 也 不 符合 前 文 提 











到 的 权限 赋予 原则 ， 即 尽 可 能 少 地 赋予 权限 ) ， 因 此 ALL 参 数 
就 有 些 不 合适 了 。 因 此 只 能 赋予 普通 用 户 共 体 的 命令 以 满足 工 
作 需 求 ， 这 也 受到 了 必要 的 权限 约束 。 如 宁 需 要 让 茶 个 用 户 只 
能 使 用 root 管 理 员 的 吴 份 执行 指定 的 命令 ， 切 记 一 定 要 给 出 该 
命令 的 绝对 路 径 ， 否 则 系统 会 识别 不 出 来 。 我 们 可 以 先 使 用 

whereis 命 令 找 出 命令 所 对 应 的 保存 路 径 ， 然 后 把 配置 文件 第 99 
行 的 用 户 权 限 参数 修改 成 对 应 的 路 径 即 可 : 

















[linuxprobeQlinuxprobe ~]$ exit 

logout 

[root@linuxprobe ~]# whereis cat 

cat: /usr/bin/cat /usr/share/man/mani/cat.1.gz /usr/sha 
re/man/manip/cat.1p.gz 


[root@linuxprobe ~]# visudo 

96 #H 

97 ## Allow root to run any commands anywhere 
98 root ALL-(ALL) ALL 

99 linuxprobe ALL-(ALL) /usr/bin/cat 








在 编辑 好 后 依然 是 先 保 存 再 退出 。 再 次 切换 到 指定 的 普通 
ALP, PR SBE aT A, JEN BRERA 
权限 。 这 时 再 使 用 sudo 命 令 就 可 以 顺利 地 碍 看 文件 内 容 了 : 








[root@linuxprobe ~]# su - linuxprobe 

Last login: Thu Sep 3 15:51:01 CST 2017 on pts/1 
[linuxprobeQlinuxprobe ~]$ cat /etc/shadow 

cat: /etc/shadow: Permission denied 
[linuxprobeQlinuxprobe ~]$ sudo cat /etc/shadow 
root:$6$GV3UVtXAZGg6ygA6$ J9pBuPGUSgZs13j83jyoI7ThJ1a9ZAU 


Lku3BcncAYFQ@QUWk6Sqc4E 36 
MnD1hLtlG9QadCpQCNVJs/5awHd0/pi1:16626:0:99999:7::: 
bin:*:16141:0:99999:7::: 
daemon:*:16141:0:99999:7::: 
adm:*:16141:0:99999:7::: 
1p:*:16141:0:99999:7::: 
sync:*:16141:0:99999:7::: 
shutdown:*:16141:0:99999:7::: 
halt:*:16141:0:99999:7::: 
mail:*:16141:0:99999:7::: 
operator:*:16141:0:99999:7::: 
games:*:16141:0:99999:7::: 
ftp:*:16141:0:99999:7::: 
nobody: *:16141:0:99999:7::: 














ACTA MEE SX Hine D. opus dA S8 HAE 
底 的 宝贝 。 不 知 大 家 是 否 发 觉 在 每 次 执行 sudo 命 令 后 都 会 要 求 
验证 一 下 密码 。 虽 然 这 个 密码 就 是 当前 登录 用 户 的 密码 ， 但 是 
每 次 执行 sudo 命 令 都 要 输入 一 次 密码 其 实 也 挺 及 烦 的 ， 这 时 可 
以 添加 NOPASSWD 参 数 ， 使 得 用 户 执行 sudo 命 令 时 不 再 需要 
密码 验证 : 














[linuxprobeQlinuxprobe ~]$ exit 

logout 

[root@linuxprobe ~]# whereis poweroff 

poweroff: /usr/sbin/poweroff /usr/share/man/man8/powero 
ff.8.gz 

[root@linuxprobe ~]# visudo 


97 ## Allow root to run any commands anywhere 
98 root ALL=(ALL) ALL 
99 linuxprobe ALL=NOPASSWD: /usr/sbin/poweroff 











QUEE, SUPRA a UT ay, BAN ZS 
地 验证 密码 了 ， 我 们 在 日 常 工 作 中 也 束 痛 快 至 极 了 。 


[root@linuxprobe ~]# su - linuxprobe 

Last login: Thu Sep 3 15:58:31 CST 2017 on pts/1 
[linuxprobeQlinuxprobe ~]$ poweroff 

User root is logged in on seat6. 


Please retry operation after closing inhibitors and log 
ging out other users. 

Alternatively, ignore inhibitors and users with “System 
ctl poweroff -i'. 

[linuxprobeQlinuxprobe ~]$ sudo poweroff 





复习 题 
1. 在 RHEL 7 系统 中 ，root 管 理 员 是 谁 ? 
答 : 是 UID 为 0 的 用 户 ， 默 认 是 root 管 理 员 。 
2. 如 何 使 用 Linux 系 统 的 命令 行 来 添加 或 删除 用 户 ? 


答 : 添加 和 删除 用 户 的 命令 分 别 是 useradd 与 userdel。 








3. 奋 东 个 文件 的 所 有 者 具有 文件 的 读 / 写 /执行 权限 ， 其 余 
人 仅 有 读 权 限 ， 那 么 用 数字 法 表示 应 该 是 什么 ? 








答 : 所 有 者 权限 为 rwx， 所 属 组 和 其 他 人 的 权限 为 r--， 
此 数字 法 表示 应 该 是 744。 





4， 某 链接 文件 的 权限 用 数字 法 表示 为 755， 那 么 相应 的 字 
符 法 表示 是 什么 呢 ? 





Z.: 在 Linux 系 统 中 ， 不 同文 件 具 有 不 同 的 类 型 ， 因 此 这 
里 应 写成 lIrwxr-xr-x。 





5. 如 果 希 望 用 户 执 行 某 命 令 时 临时 拥有 该 命令 所 有 者 的 
权限 ， 应 该 设置 什么 特殊 权限 ? 


T 特殊 权限 中 的 SUID。 





6. 知 对 文件 设置 了 隐藏 权限 +i， 则 意味 者 什么 ? 








答 : 无 法 对 文件 进行 修改 ; AARNE SAS, WX 
能 修改 其 中 的 子 文件 内 容 而 不 能 新 建 或 删除 文件 。 


7. 使 用 访问 控制 列表 (ACL) 来 限制 linuxprobe 用 户 组 ， 
使 得 该 组 中 的 所 有 成 员 不 得 在 /tmp 目 录 中 写 入 内 容 。 








答 : 想 要 设置 用 户 组 的 ACL， 则 需要 把 u 改 成 g， 即 setfacl 


-Rm g:linuxprobe:r-x /tmp。 





8. 当 普 通用 户 使 用 sudo 命 令 时 是 否 需要 验证 密码 ? 





: 系统 在 默认 情况 下 需要 验证 当前 登录 用 户 的 密码 ， 
KEI, 可 添加 NOPASSWD 人 参数 。 





第 6 章 | 存储 结构 与 磁盘 划分 










一 切 从 “开始 ; 


物理 设备 的 命名 规则 ; 


文件 系统 与 数据 资料 ; 


挂 载 硬 件 设备 ; 


添加 人 硬件 设备 ; 


添加 交换 分 区 ; 


磁盘 容量 配额 






软 便 方式 链接 。 











Linux 系 统 中 颇具 特色 的 文件 存储 结构 当 常 搞 得 新 手 尖 尝 
脑 胀 ， 本 章 将 从 Linux 系 统 中 的 文件 存储 结构 开始 ， 讲 述 文件 
系统 层次 化 标准 (FHS，Filesystem Hierarchy Standard) 、 
udev 便 件 命 名 规则 以 及 硬盘 分 区 的 规划 方法 。 


73 f vb ee E HR A SOE ARR VE, ls E pA FE AS 
章 中 详细 地 分 析 Linux 系 统 中 最 常见 的 Ext3、Ext4 与 XFS 文件 系 
统 的 不 同 之 处 ， 并 市 领 各 位 读者 着 重 练习 硬盘 设备 分 区 、 格 式 
化 以 及 挂 载 等 常用 的 硬盘 管理 操作 ， 以 便 熟 练 掌握 文件 系统 的 
使 用 方法 。 














在 打下 坚实 的 理论 基础 与 完成 一 些 相关 的 实践 练习 后 ， 我 
们 将 进一步 完整 地 部 晋 SWAP 交 换 分 区 、 配 置 quota 磁 盘 配 额 服 
务 ， 以 及 掌握 In 命令 带 来 的 软 便 链接 。 相 信 各 位 读者 在 学 习 完 
本 章 后 ， 会 对 Linux 系 统 以 及 Windows 系 统 中 的 磁盘 存储 以 及 
文件 系统 有 深入 的 理解 。 
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在 Linux 系 统 中 ， 目 录 、 字 符 设备 、 块 设备 、 套 接 字 、 打 
印 机 等 都 被 抽象 成 了 文件 ， 即 刘 吐 老师 所 一 直 强 调 的 “Linux 系 
统 中 一 切 都 是 文件 ”。 既 然 平 时 我 们 打交道 的 都 是 文件 ， 那 么 
又 应 该 如 何 找到 它们 呢 ? 在 windows 操 作 系统 中 ， 想 要 找到 一 
个 文件 ， 我 们 要 依次 进入 该 文件 所 在 的 磁盘 分 区 《假设 这 里 是 
DÈ) ， 然 后 在 进入 该 分 区 下 的 具体 目录 ， 最 终 找到 这 个 文 
件 。 但 是 在 Linux 系 统 中 并 不 存在 C/D/E/E 等 盘 符 ，Linux 系 统 
中 的 一 切 文件 都 是 从 “ 根 CO) ”目录 开始 的 ， 并 按照 文件 系统 
层次 化 标准 FHS) 采用 树 形 结构 来 存放 文件 ， 以 及 定义 了 和 
见 目录 的 用 途 。 另 外 ，Linux 系 统 中 的 文件 和 目录 名 称 是 严格 
区 分 大 小 写 的 。 例 如 ，root、rOOt、Root、rooT 均 代表 不 同 的 
目录 ， 并 且 文 件 名称 中 不 得 包含 佟 杜 (/) 。Linux 系 统 中 的 文 
件 存 储 结构 如 图 6-1 所 示 。 














根 目录 / 


/root /bin /boot /dev /etc /home /var /lib /usr /media /tmp ===- 


/rootDesktop — /root/Media |. ^" o ossn /usr/bin /usr/lib — =se 
图 6-1 Linux 系 统 中 的 文件 存储 结构 


前 文 提 到 的 FHS 是 根据 以 往 无 数 Linux 系 统 用 户 和 开发 者 
的 经 验 而 总 结 出 来 的 ， 是 用 户 在 Linux 系 统 中 存储 文件 时 需要 
遵守 的 规则 ， 用 于 指导 我 们 应 该 把 文件 保存 到 什么 位 置 ， 以 及 
告诉 用 户 应 该 在 何 处 找到 所 需 的 文件 。 但 是 ，FHS 对 于 用 户 来 
HER nee PEE LAR, AEA te A, RAR 
会 把 文件 到 处 乱 放 ， 有 些 甚至 从 来 没有 听 说 过 它 。 这 里 并 不 是 
号 召 各 位 读者 去 访 责 他 们 ， 而 是 建议 大 家 要 灵活 运用 所 学 的 知 
识 ， 和 干 万 不 要 认 准 这 个 FHS 协 定 只 讲 死 道理 ， 不 然 吃 亏 的 可 就 
是 自己 了 。 在 Linux 系 统 中 ， 最 第 见 的 目录 以 及 所 对 应 的 存放 
内 容 如 表 6-1 所 示 。 


表 6-1 ”Linux 系 统 中 常见 的 目录 名 称 以 及 相应 内 容 
































目录 名 称 应 放置 文件 的 内 容 





系统 管理 员 的 家 目录 





一 些 网 络 服务 的 数据 文件 目录 





/tmp 任何 人 均 可 使 用 的 “共享 ”临时 目录 


虚拟 文件 系统 ， 例 如 系统 内 核 、 进 程 、 外 部 设备 及 网 络 状 
/proc 态 等 
几 忆 目 行 安 装 的 软件 
Linux 系 统 开 机 时 不 会 使 用 到 的 软件 /命令 /脚本 


帮助 与 说 明文 件 ， 也 可 放置 共享 文件 
主要 存放 经 常 变 化 的 文件 ， 如 日 志 


MFR REIN, “HEE RAY ICEL BO BER 
g 


路 径 。 路 径 
指 的 是 如 何 定位 到 茶 个 文件 ， 分 为 绝对 路 径 与 相对 路 径 。 绝 对 





在 Linux 系 统 中 另外 还 有 一 个 重要 的 概念 

















路 径 指 的 是 从 根 目 录 〈/) 开始 写 起 的 文件 或 目录 名 称 ， 而 相 
对 路 径 则 指 的 是 相对 于 当前 路 径 的 写法 。 我 们 来 看 下 面 这 个 例 
子 ， 以 帮助 大 家 理解 。 假 如 有 位 外 国 游客 来 到 中 国 潘 家 园 旅 
游 ， 当 前 内 和 急 但 是 找 不 到 洗手 间 ， 特 意 回 您 问 路 ， 那 么 您 有 两 


种 正确 的 指 路 方法 。 


e 绝对 路 径 〈absolute path) :首先 坐 发 机 来 到 中 国 ， 到 了 北 
京 出 首都 机 场 坐 机 场 快 轨 到 三 元 桥 ， 然 后 换 乘 10 号 线 到 潘 
家 园 站 ， 出 站 后 坐 34 路 公交 车 到 农 光 里 ， 下 车 后 路 口 左 
转 。 

相对 路 径 (relative path) :前 面 路 口 左 转 。 





这 两 种 方法 都 正确 。 如 宁 您 说 的 是 绝对 路 径 ， 那 么 任何 一 
位 外 国 游客 都 可 以 按照 这 个 提示 找到 潘 家 园 的 洗手 间 ， 但 是 太 
S&P 了。 如 果 您 说 的 是 相对 路 径 ， 昌 然 表 达 很 简练 ， 但 是 这 位 
外 国 游客 只 能 从 当前 位 置 〈 不 见得 是 潘 家 园 ) 出 发 找到 洗手 
间 ， 因 此 并 不 能 保证 在 前 面 的 路 口 左 转 后 可 以 找到 洗手 间 ， 由 
此 可 见 ， 相 对 路 径 不 具备 普 适 性 。 

















如 果 各 位 读者 现在 还 是 不 能 理解 相对 路 径 和 绝对 路 径 的 区 
别 ， 也 不 要 着 和 急 ， 以 后 通过 实践 练习 肯定 可 以 彻底 搞 明 白 。 当 
前 建议 大 家 先 记 住 FHS 中 规范 的 目录 作用 ， 这 将 在 以 后 派 上 用 
场 。 











6.2 物理 设备 的 命名 规则 


在 Linux 系 统 中 一 切 都 是 文件 ， 硬 件 设备 也 不 例外 。 既 然 
是 文件 ， 就 必须 有 文件 名 称 。 oe 了 理 峰会 
自动 把 硬件 名 称 规范 起 来 ， 目 的 是 让 用 户 通 过 设备 文件 的 名 字 
可 以 猜 出 设备 大 致 的 属性 以 及 分 区 信息 等 ， 这 对 于 陌生 的 设备 
来 说 特别 方便 。 另 外 ，udev 设 备 管 理 器 的 服务 会 一 直 以 守护 进 
程 的 形式 运行 并 侦 听 内 核发 出 的 信号 来 管理 /dev 目 录 下 的 设备 
文件 。Linux 系 统 中 常见 的 便 件 设备 的 文件 名 称 如 表 6-2 所 示 。 























表 6-2 管见 的 便 件 设备 及 其 文件 名 称 


人 硬件 设备 文件 名 称 


puse 
id 





光驱 /dev/cdrom 





/dev/steak/dev/hte 


由 于 现在 的 IDE 设 备 已 经 很 少见 了 ， 所 以 一 般 的 硬盘 设备 
都 会 是 以 “dewsd” 开 头 的 。 而 一 台 主 机 上 可 以 有 多 块 硬 盘 ， 
此 系统 采用 a 一 p 来 代表 16 块 不 同 的 硬盘 〈 默 认 从 a 开 始 分 








配 ) ， 而 且 硬 盘 的 分 区 编号 也 很 有 讲 宛 : 


。 主 分 区 或 扩展 分 区 的 编写 从 1 开始 ， 到 4 结束 ; 
。 逻辑 分 区 从 编写 5 开始 。 


内 很 多 Linux 培 训 讲 师 以 及 很 多 知名 Linux 图 书 在 讲 到 设 
备 和 分 区 名 称 时 ， 总 会 讲 错 两 个 知识 点 。 第 一 个 知识 点 是 设备 
名 称 的 理解 错误 。 很 多 培训 讲师 和 Linux 技 术 图书 中 会 提 到 ， 
比如 /devsda 表 示 主 板 上 第 一 个 插 槽 上 的 存储 设备 ， 学 员 或 读 
者 在 实践 操作 的 时 候 会 发 现 果 然 如 此 ， 因 此 也 就 对 这 条 理论 知 
识 更 加 深信 不 疑 。 但 真相 不 是 这 样 的 ，/dev 目 录 中 sda 设 备 之 所 
以 是 as， 并 不 是 由 插 槽 决定 的 ， 而 是 由 系统 内 核 的 识别 顺序 来 
决定 的 ， 而 恰巧 很 多 主板 的 插 模 顺序 就 是 系统 内 核 的 识别 顺 
序 ， 因 此 才 会 被 命名 为 /dev/sda。 大 家 以 后 在 使 用 iSCSI 网 络 存 




















储 设备 时 就 会 发 现 ， 明 明 主 板 上 第 二 个 插 模 是 空 着 的 ， 但 系统 
却 能 识别 到 /devsdb 这 个 设备 就 是 这 个 道理 。 





第 二 个 知识 点 是 对 分 区 名 称 的 理解 错误 。 很 多 Linux 培 训 
讲师 会 告诉 学 员 ， 分 区 的 编写 代表 分 区 的 个 数 。 比 如 sda3 表 示 
这 是 设备 上 的 第 三 个 分 区 ， 而 学 员 在 做 实验 的 时 候 确 实 也 会 得 
出 这 样 的 结果 ， 但 是 这 个 理论 知识 是 错误 的 ， 因 为 分 区 的 数字 
编码 不 一 定 是 强制 顺延 下 来 的 ， 也 有 可 能 是 手工 指定 的 。 因 此 
sda3 只 能 表示 是 编写 为 3 的 分 区 ， 而 不 能 判断 sda 设 备 上 已 经 存 
在 了 3 个 分 区 。 














在 填 了 这 两 个 “ 坑 ? 之 后 ， 刘 六 老师 再 来 分 析 一 下 /dewsda5 
这 个 设备 文件 名 称 包含 哪些 信息 ， 如 图 6-2 所 示 。 


hd 表示 IDE 设备 


硬件 设备 文件 
所 在 的 目录 


/devisdaD5 





sd 表示 SCSI 设备 





图 6-2 ”设备 文件 名 称 


首先 ，/dev/ 目 录 中 保存 的 应 当 是 硬件 设备 文件 ， 其 次 ，sd 





RRETARA: 然后 ，a 表 示 系 统 中 同类 接口 中 第 一 个 被 识 
别 到 的 设备 ， 最 后 ，5 表 示 这 个 设备 是 一 个 多 辑 分 区 。 一 言 以 
蔽 之 ，“/dev/sda5” 表 示 的 就 是 “这 是 系统 中 第 一 块 被 识别 到 的 
人 硬件 设备 中 分 区 编号 为 5 的 逻辑 分 区 的 设备 文件 ”。 考 碟 到 我 们 
的 很 多 读者 完全 没有 Linux 基 础 ， 不 太 容 易 理 解 前 面 所 说 的 主 
分 区 、 扩 展 分 区 和 你 辑 分 区 的 概念 ， 因 此 接 下 来 简单 科普 一 下 
硬盘 相关 的 知识 。 











正 是 因为 计算 机 有 了 硬盘 设备 ， 我 们 才 可 以 在 玩 游戏 的 过 
程 中 或 游戏 通关 之 后 随时 存档 ， 而 不 用 每 次 重头 开始 。 硬 盘 设 
备 是 由 大 量 的 面 区 组 成 的 ， 每 个 而 区 的 容量 为 512 字 节 。 其 中 
第 一 个 局 区 最 重要 ， 它 里 面 保存 着 主 引 导 记 录 与 分 区 表 信息 。 
就 第 一 个 而 区 来 讲 ， 主 引导 记录 需要 占用 446 字 节 ， 分 区 表 为 
64 字 市 ， 结 束 符 占 用 2 字 市 ;其 中 分 区 表 中 每 记录 一 个 分 区 信 
居 束 需要 16 字 节 ， 这 样 一 来 最 多 只 有 4 个 分 区 信息 可 以 写 到 第 
一 个 届 区 中 ， 这 4 个 分 区 就 是 4 个 主 分 区 。 第 一 个 局 区 中 的 数据 
言 息 如 图 6-3 所 示 。 


















































主 引导 记录 (Master Boot Record, MBR ) 





图 6-3 9$ — ^ X Pe fei A 











现在 ， 问 题 来 了 一 一 第 一 个 局 区 最 多 只 能 创建 出 4 个 分 
X? 于 是 为 了 解决 分 区 个 数 不 够 的 问题 ， 可 以 将 第 一 个 山区 的 
分 区 表 中 16 字 市 (原本 要 写 入 主 分 区 信息 ) 的 空间 ( 称 之 为 扩 
展 分 区 ) 和 拿 出 来 指 问 男 外 一 个 分 区 。 也 束 是 说 ， 扩 展 分 区 其 实 
并 不 是 一 个 真正 的 分 区 ， 而 更 像 是 一 个 占用 16 字 节 分 区 表 空 间 
的 指针 一 一 一 个 指 回 另 外 一 个 分 区 的 指针 。 这 样 一 来 ， 用 户 一 
般 会 选择 使 用 3 个 主 分 区 加 1 个 扩展 分 区 的 方法 ， 然 后 在 扩展 分 
区 中 创建 出 数 个 逻辑 分 区 ， 从 而 来 满足 多 分 区 (大 于 4 个 ) 的 
需求 。 当 然 ， 就 目前 来 讲 大 家 只 要 明白 为 什么 主 分 区 不 能 超过 
4 个 就 足够 了 。 主 分 区 、 扩 展 分 区 、 思 辑 分 区 可 以 像 图 6-4 那 样 
来 规划 。 








所 谓 扩展 分 区 ， 严 格 地 讲 它 不 是 一 个 实际 意义 的 分 区 ， 它 仅仅 是 
一 个 指向 下 一 个 分 区 的 指针 ， 这 种 指针 结构 将 形成 一 个 单 向 链表 。 


第 1 个 主 分 区 | [第 2 个 主 分 区 | [第 3 个 主 分 区 yer 
/dev/sdal /dev/sda2 /dev/sda3 扩展 分 区 


第 1 个 逻辑 分 区 | | 第 2 个 逻辑 分 区 
/dev/sda5 /dev/sda6 


图 6-4 ”硬盘 分 区 的 规划 








读者 可 以 试 着 解读 一 下 /dev/sdb8 的 意思 。 





6.3 文件 系统 与 数据 资料 


改 、 


用 户 在 硬件 存储 设备 中 执行 的 文件 建立 、 写 入 、 读 取 、 修 
转 存 与 控制 等 操作 都 是 依靠 文件 系统 来 完成 的 。 文 件 系统 








的 作用 是 合理 规划 硬盘 ， 以 保证 用 户 正常 的 使 用 需求 。Linux 
系统 文 持 数 十 种 的 文件 系统 ， 而 最 津 见 的 文件 系统 如 下 所 示 。 


Ext3: 是 一 款 日 志文 件 系统 ， 能 够 在 系统 异常 宕 机 时 避免 
文件 系统 资料 丢失 ， 并 能 自动 修复 数据 的 不 一 致 与 错误 。 

然而 ， 当 硬盘 容量 较 大 时 ， 所 需 的 修复 时 间 也 会 很 长 ， 而 
且 也 不 能 百分之百 地 保证 资料 不 会 丢失 。 它 会 把 整个 磁盘 
的 每 个 写 入 动作 的 细节 都 预先 记录 下 来 ， 以 便 在 发 生 异 常 
宕 机 后 能 回溯 追踪 到 被 中 断 的 部 分 ， 然 后 尝试 进行 修复 。 

Ext4: Ext3 的 改进 版 本 ， 作 为 RHEL 6 系统 中 的 默认 文件 管 
理 系统 ， 它 支持 的 存储 容量 高 达 

1EB (1EB=1,073,741,824GB) ， 且 能 够 有 无 限 多 的 子 目 

录 。 男 外 ，Ext4 文 件 系统 能 够 批量 分 配 block 块 ， 从 而 极 大 
地 提高 了 读 写 效 率 。 

XFS: 是 一 种 高 性 能 的 日 志文 件 系 统 ， 而 且 是 RHEL 7 中 默 
认 的 文件 管理 系统 ， 它 的 优势 在 发 生意 外 宕 机 后 尤其 明 

显 ， 即 可 以 快速 地 恢复 可 能 被 破坏 的 文件 ， 而 且 强 大 的 日 
志 功 能 只 用 花费 极 低 的 计算 和 存储 性 能 。 并 且 它 最 大 可 支 



































地 的 存储 容量 为 18EB， 这 几乎 满足 了 所 有 需求 。 








RHEL 7 系统 中 一 个 比较 大 的 变化 瓯 是 使 用 了 XFS 作 为 文 
件 系 统 ， 这 不 同 于 RHEL 6 使 用 的 Ext4。 从 红 帽 公司 官方 发 布 
的 说 明 来 看 ， 这 确实 是 一 个 不 小 的 进步 ， 但 是 刘 租 老师 在 实测 
中 发 现 并 不 完全 属实 。 因 为 单纯 就 测试 一 球 文 件 系 统 的 “ 读 
取 ” 性 能 来 说 ， 到 底 要 读 取 多 少 个 文件 ， 每 个 文件 的 大 小 是 多 
少 ， 读 取 文 件 时 的 CPU、 内 存 等 系统 资源 的 占用 率 如 何 ， 以 及 
不 同 的 硬件 配置 是 否 会 有 不 同 的 影响 ， 因 此 在 充分 考虑 到 这 些 
不 确定 因素 后 ， 实 在 不 敢 直 接 照 抄 红 帽 官方 的 介绍 。 我 个 人 认 
为 XFS 虽然 在 性 能 方面 比 Ext4 有 所 提升 ， 但 绝 不 是 压倒 性 的 ， 
因此 XFS 文件 系统 最 卓越 的 亮点 应 该 当 属 可 支持 高 达 18EB 的 存 
储 容量 吧 。 


























就 像 拿 到 了 一 张 未 裁 切 的 完整 纸张 那样 ， 我 们 首先 要 进行 
裁 切 以 方便 使 用 ， 然 后 在 裁 切 后 的 纸张 上 画 格 以 便 能 书写 工 
整 。 在 拿 到 了 一 块 新 的 硬盘 存储 设备 后 ， 也 需要 先 分 区 ， 然 后 
再 格式 化 文件 系统 ， 最 后 才能 挂 载 并 正常 使 用 。 人 硬盘 的 分 区 损 
作 取 决 于 您 的 需求 和 硬盘 大 小 ; 您 也 可 以 选择 不 进行 分 区 ， 但 
是 必须 对 硬盘 进行 格式 化 处 理 。 接 下 来 刘 咱 老师 再 向 大 家 简单 
地 科普 一 下 硬盘 在 格式 化 后 有 发生 的 事情 。 再 次 强调 ， 不 用 刻意 
去 记 住 ， 只 要 能 看 懂 就 行 了 。 























日 常 在 硬盘 需要 保存 的 数据 实在 太 多 了 ， 因 此 Linux 系 统 
中 有 一 个 名 为 super block 的 “硬盘 地 图 ”。Linux 并 不 是 把 文件 内 
容 直 接 写 入 到 这 个 “硬盘 地 图 ”里 面 ， 而 是 在 里 面 记录 着 整个 文 
件 系 统 的 信息 。 因 为 如 果 把 所 有 的 文件 内 容 都 写 入 到 这 里 面 ， 
它 的 体积 将 变 得 非常 大 ， 而 且 文 件 内 容 的 查询 与 写 入 速度 也 会 
变 得 很 慢 。Linux 只 是 把 每 个 文件 的 权限 与 属性 记录 在 inode 
中 ， 而 且 每 个 文件 占用 一 个 独立 的 inode 表 格 ， 该 表格 的 大 小 
默认 为 128 字 节 ， 里 面 记录 着 如 下 信息 : 

















e 该 文 件 的 访问 权限 Cread, write. execute) ; 
该 文件 的 所 有 者 与 所 属 组 (owner、group ) ; 
该 文件 的 大 小 (size) ; 

该 文件 的 创建 或 内 容 修 改 时 间 Cctime) ; 
该 文件 的 最 后 一 次 访问 时 间 Catime) ; 

该 文件 的 修改 时 间 (mtime); 
文件 的 特殊 权限 (SUID、SGID、SBIT) ; 
该 文件 的 真实 数据 地 址 (point〉。 








而 文件 的 实际 内 容 则 保存 在 block 块 中 (大 小 可 以 是 1KB、 
2KB 或 4KB) ， 一 个 inode 的 默认 大 小 仅 为 128B (Ext3) ， 记 录 
一 个 block 则 消耗 4B。 当 文件 的 inode 被 写 满 后 ，Linux 系 统 会 自 
动 分 配 出 一 个 block 块 ， 专 门 用 于 像 inode 那 样 记录 其 他 block 块 
的 信息 ， 这 样 把 各 个 block 块 的 内 容 串 到 一 起 ， 束 能 够 让 用 户 


读 到 完整 的 文件 内 容 了。 对 于 存储 文件 内 容 的 block 块 ， 有 下 
面 两 种 常见 情况 (以 4KB 的 block 大 小 为 例 进行 说 明 》。 


。 情 况 1: 文件 很 小 (1KB)〉， 但 依然 会 占用 一 个 block， 
此 会 潜在 地 浪费 3KB。 

e 情况 2: 文件 很 大 (SKB) ， 那 么 会 占用 两 个 block (5KB- 
4KB 后 剩 下 的 1KB 也 要 占用 一 个 block) 。 








计算 机 系统 在 发 展 过 程 中 产生 了 众多 的 文件 系统 ， 为 了 使 
用 户 在 读 取 或 写 入 文件 时 不 用 关心 奔 层 的 人 硬盘 结构 ，Linux 内 
核 中 的 软件 层 为 用 尸 程 友 提 供 了 一 个 VFS (Virtual File 
System， 虚 拟 文 件 系 统 ) 接口 ， 这 样 用 户 实际 上 在 操作 文件 时 
就 是 统一 对 这 个 虚拟 文件 系统 进行 操作 了。 图 6-5 所 示 为 VFS 
的 架构 示意 图 。 从 中 可 见 ， 实 际 文件 系统 在 VFS 下 隐藏 了 自己 
的 特性 和 细 市 ， 这 样 用 户 在 日 第 使 用 时 会 觉得 “文件 系统 都 是 
一 样 的 ”， 也 就 可 以 随意 使 用 各 种 命令 在 任何 文件 系统 中 进行 
各 种 操作 了 《比如 使 用 cp 命令 来 复制 文件 ) 。 





























用 户 界面 





系统 调用 界面 
虚拟 文件 系统 (VFS) 


内 核 


硬件 层 





图 6-5 VFS 的 架构 示意 图 


64 ” 挂 载 硬 件 设备 


我 们 在 用 惯 了 Windows 系 统 后 总 觉得 一 切 都 是 理所当然 
的 ， 平 时 把 U 盘 插入 到 电脑 后 也 从 来 没有 考虑 过 Windows 系 统 
做 了 哪些 事情 ， 才 使 得 我 们 可 以 访问 这 个 U 盘 的 。 接 下 来 我 们 
会 逐一 学 习 在 Linux 系 统 中 挂 载 和 缉 载 存储 设备 的 方法 ， 以 便 
大 家 更 好 地 了 解 Linux 系 统 添加 硬件 设备 的 工作 原理 和 流程 。 
前 面 讲 到 ， 在 拿 到 一 块 全 新 的 硬盘 存储 设备 后 要 先 分 区 ， 然 后 
格式 化 ， 最 后 才能 挂 载 并 正常 使 用 。“ 分 区 ”和 “格式 化 ”大 家 以 
前 经 常 听 到 ， 但 “ 挂 载 ? 又 是 什么 呢 ? oua ZINE BAA aS — 
最 简单 、 最 贴切 的 解释 一 一 当 用 户 需 要 使 用 硬盘 设备 或 分 区 中 
的 数据 时 ， 需 要 先 将 其 与 一 个 已 存在 的 目录 文件 进行 关联 ， 而 
这 个 关联 动作 就 是 “ 挂 载 *。 下 文 将 回 读 者 逐步 讲解 如 何 使 用 硬 
盘 设备 ， 但 是 鉴于 与 挂 载 相关 的 理论 知识 比较 复杂 ， 而 且 很 重 
要 ， 因 此 决定 再 拿 出 一 个 小 节 单 独 讲解 ， 这 次 希望 大 家 不 仅 要 
看 懂 ， 而 且 还 要 记 住 。 


























6.4.1 mountí54^ 


mount 命 令 用 于 挂 载 文件 系统 ， 格 式 为 “mount 文件 系统 挂 
载 目 录 ”。mount 命 令 中 可 用 的 参数 及 作用 如 表 6-3 所 示 。 挂 载 
是 在 使 用 硬件 设备 前 所 执行 的 最 后 一 步 操作 。 只 需 使 用 mount 








命令 把 硬盘 设备 或 分 区 与 一 个 目录 文件 进行 天 联 ， 然 后 就 能 在 
这 个 目录 中 看 到 硬件 设备 中 的 数据 了 。 对 于 比较 新 的 Linux 系 
统 来 讲 ， 一 上 般 不 需要 使 用 -t 参 数 来 指定 文件 系统 的 类 型 ，Linux 
系统 会 自动 进行 判断 。 而 mount 中 的 -a 参数 则 厉害 了 ， 它 会 在 
执行 后 上 自动 检查 /etcfstab 文 件 中 有 无 芷 漏 被 挂 载 的 设备 文件 ， 
如 果 有 ， 则 进行 目 动 挂 载 操作 。 


表 6-3 ”mount 命令 中 的 参数 以 及 作用 


Pm 








指定 文件 系统 的 类 型 





a 挂 载 所 有 在 /etc/fstab 中 定义 的 文件 系统 
P 





例如 ， 要 把 设备 /devsdb2 挂 载 到 /backup 目 录 ， 只 需要 在 
mount 命 令 中 填写 设备 与 挂 载 目 录 参 数 就 行 ， 系 统 会 自动 去 判 
汤 要 挂 载 文 件 的 类 型 ， 因 此 只 需要 执行 下 述 命令 即 可 : 











[root@linuxprobe ~]# mount /dev/sdb2 /backup 





虽然 按照 上 面 的 方法 执行 mount 命 令 后 就 能 立即 使 用 文件 
系统 了 ， 但 系统 在 重 局 后 挂 载 就 会 失效 ， 也 就 是 次 我 们 需要 每 





次 开机 后 都 手动 挂 载 一 下 。 这 肯定 不 是 我 们 想 要 的 效果 ， 如 果 
想 让 硬件 设备 和 目录 永久 地 进行 自动 关联 ， 束 必须 把 挂 载 信息 
按照 指定 的 填写 格式 “设备 文件 挂 载 目 录 格式 类 型 权限 选项 
目 检 优先 级 ”( 各 字段 的 意义 见 表 6-4) 写 入 到 /etc/fstab 文 件 
中 。 这 个 文件 中 包含 独 挂 载 所 需 的 诸多 信息 项 目 ， 一 旦 配置 好 
之 后 束 能 一 劳 永 逸 了 。 

















表 6-4 用 于 挂 载 信息 的 指定 填写 格式 中 ， 各 字段 所 表示 的 


一 般 为 设备 的 路 径 + 设 备 名 称 ， 也 可 以 写 唯一 识别 码 (UUID， 


Universally Unique Identifier) 








指定 要 挂 载 到 的 目录 ， 需 在 挂 载 前 创建 好 


指定 文件 系统 的 格式 ， 比 如 Ext3、Ext4、XFS、SWAP、 
iso9660 (此 为 光盘 设备 ) 等 


若 设 置 为 defaults， 则 默认 权限 为 : rw, suid, dev, exec, auto, 


nouser, async 
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动 挂 载 到 /backup 目 录 上 ， 并 保持 默认 权限 且 无 需 开 机 目 检 ， 
就 需要 在 /etc/fstab 文 件 中 写 入 下 面 的 信息 ， 这 样 在 系统 重 局 后 
也 会 成 功 挂 载 。 














[root@linuxprobe ~]# vim /etc/fstab 

# 

# /etc/fstab 

# Created by anaconda on Wed May 4 19:26:23 2017 

# 

# Accessible filesystems, by reference, are maintained 
under '/dev/disk' 

# See man pages fstab(5), findfs(8), mount(8) and/or bl 
kid(8) for more info 

# 

/dev/mapper/rhel-root / 

xfs defaults 11 
UUID-812b1f7c-8b5b-43da-8c06-b9999e0fe48b /boot 

xfs defaults 12 

/ dev/mapper /rhel-swap 
swap swap defaults 0 0 

/ dev/cdrom /media/cdrom 
iso9660 defaults 00 

/ dev/sdb2 /backup 

ext4 defaults © 0 





6.4. umount 命 令 


umount 命 令 用 于 撤销 已 经 挂 载 的 设备 文件 ， 格 式 
为 “umount [ 挂 载 点 /设备 文件 ]”。 我 们 挂 载 文 件 系统 的 目的 是 
为 了 使 用 硬件 资源 ， 而 芭 载 文件 系统 就 意味 不 再 使 用 硬件 的 设 
备 资 源 ; 相对 应 地 ， 挂 载 操 作 就 是 把 硬件 设备 与 目录 进行 天 联 
的 动作 ， 因 此 凶 载 操作 只 需要 说 明 想 要 取消 关联 的 设备 文件 或 
挂 载 目 录 的 其 中 一 项 即 可 ， 一 般 不 需要 加 其 他 额外 的 参数 。 我 
们 来 尝试 手动 和 卸载 掉 /dev/sdb2 设 备 文件 : 


[root@linuxprobe ~]# umount /dev/sdb2 





6.5 ”添加 硬盘 设备 


根据 前 文 讲解 的 与 定理 人 硬件 设备 相关 的 理论 知识 ， 我 们 先 
来 理 清 一 下 添加 硬盘 设备 的 操作 思路 : 衣 先 需要 在 虚拟 机 中 模 
拟 添 加 入 一 块 新 的 便 盘 存储 设备 ， 然 后 再 进行 分 区 、 格 式 化 、 
挂 载 等 操作 ， 最 后 通过 检查 系统 的 挂 载 状 态 并 真实 地 使 用 硬盘 
来 验证 硬盘 设备 是 否 成 功 添加 。 

















鉴于 我 们 不 需要 为 了 做 这 个 实验 而 特意 买 一 块 真实 的 便 
盘 ， 而 是 通过 虚拟 机 软件 进行 硬件 模拟 ， 因 此 这 再 次 体现 出 了 
使 用 虚拟 机 软件 的 好 处 。 有 具体 的 操作 步骤 如 下 。 


首先 把 虚拟 机 系统 关机 ， 稍 等 几 分 钟 会 目 动 返回 到 虚拟 机 
常理 主 界面 ， 然 后 单 击 “ 编 辑 虚 拟 机 设置 ?选项 ， 在 弹出 的 界面 
中 单 击 “请 加 ?按钮 ， 新 增 一 蕊 便 件 设备 ， 如 图 6-6 所 示 。 
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图 6-6 ”在 虚拟 机 系统 中 添加 硬件 设备 


选择 想 要 添加 的 便 件 类 型 为 “人 硬盘 ”"， 然 后 单 击 “ 下 一 步 ” 按 
钮 就 可 以 了 ， 这 确实 没有 什么 需要 进一步 解释 的 ， 如 图 6-7 所 
Ze 





选择 虚拟 硬盘 的 类 型 为 SCSI (默认 推荐 ) ， 并 单 击 “下 一 
步 ” 按 钮 ， 这 样 虚 拟 机 中 的 设备 名 称 过 一 会 儿 后 应 该 
为 /dev/sdb， 如 图 6-8 所 示 。 
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图 6-7 ”选择 添加 硬件 类型 


| 








内 存 





添加 硬件 向 导 


选择 磁盘 类 型 
您 要 创建 何 种 磁盘 ? 





指定 分 配给 此 虚拟 机 的 内 存 里 。 内 存 太 小 必须 为 4 MB 








虚拟 磁盘 类 型 
© IDE(I) 
@scsis) (推荐 ) 
© SATA(A) 
模式 
回 独立 (D) 

独立 磁盘 不 受 快 照 景 各 9。 

@@ 永 只 (P) 

AEB p sz Bla E AR © 


非 永久 (0) 


关闭 或 还 原 快照 后 ， 对 磁盘 所 做 的 更 改 将 被 趣 弃 。 
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操作 系统 内 存 
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Kle-8 ”选择 硬盘 设备 类 型 


选中 “创建 新 虚拟 磁盘 ” 单 选 按钮 ， 而 不 是 其 他 选项 ， 再 次 
单 击 “下 一 步 ? 按 钮 ， 如 图 6-9 所 示 。 

















© 创建 新 虚拟 磁盘 (V) 
虚拟 磁盘 由 主机 文件 系统 上 的 一 个 或 多 个 文件 组 成 ,客户 机 操作 系统 会 将 其 视 为 单 
个 大 盘 。 虚 拟 磁 盘 可 在 一 台 主机 上 或 多 台 主机 之 间 轻 梳 复制 或 移动 。 


O 使 用 现 有 虚拟 磁盘 (E) 
选择 此 选项 将 重新 使 用 之 前 配置 的 磁盘 。 


O 使 用 物理 磁盘 (适用 于 高 级 用 户 )(P) 
选择 此 选项 将 为 虚拟 机 提供 直接 访问 本 地 硬盘 的 权限 。 上 旧作 系统 内 存 
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图 6-9 ”选择 “创建 新 虚拟 磁盘 ?选项 


将 “最 大 磁盘 大 小 ”设置 为 默认 的 20GB。 这 个 数值 是 限制 
这 台 虚 拟 机 所 使 用 的 最 大 硬盘 空间 ， 而 不 是 立即 将 其 填 满 ， 
此 默认 20GB 就 很 合适 了 。 单 击 “* 下 一 步 ? 按 钮 ， 如 图 6-10 所 示 。 

















指定 磁盘 容 旦 
磁盘 大 小 为 多 少 ? 





^ 


最 大 磁盘 大 小 (6B)(5): 20.0 =) 
针对 Red Hat Enterprise Linux 7 64 位 的 建议 大 小 : 20 GB 


O 立即 分 本 所 有 磁盘 空间 (A)。 
分 配 所 有 容 里 可 以 提高 性 能 ， 但 要 求 所 有 物理 磁盘 空间 立即 可 用 。 如 果 不 立即 分 本 
所 有 空间 虚拟 磁盘 的 空间 最 初 很 小 ， 会 随 着 您 向 其 中 添加 数据 而 不 断 变 大 。 





C 将 虚拟 磁盘 存储 为 单个 文件 (0) Mieres 
© 将 虚拟 磁盘 拆 分 成 名 个 文件 (M) 
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存 。 您 可 以 
L< 上 = 步 B) ] [下 =- 步 m)> ] [取消 
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图 6-10 ”设置 硬盘 的 最 大 使 用 空间 


设置 磁盘 文件 的 文件 名 和 保存 位 置 〈 这 里 采用 默认 设置 即 
， 无 需 修 改 ) ， 直 接 单 击 “ 完 成 ?按钮 ， 如 图 6-11 所 示 。 








指定 磁盘 文件 
您 要 在 何 处 存 情 磁 盘 文件 ? 





磁盘 文件 (F) 
将 为 每 2 GB 容量 的 虚拟 磁盘 创建 一 个 磁盘 文件 。 除 第 一 个 文件 之 外 ， 每 个 文件 的 文件 
名 均 将 根据 此 处 提供 的 文件 名 自动 生成 。 


文件 名 : — 红 帼 企业 版 RHEL7_x86_64-0.vmdk 


























图 6-11 设置 磁盘 文件 的 文件 名 和 保存 位 置 
将 新 硬盘 添加 好 后 就 可 以 看 到 设备 信息 了 。 不 需要 做 





任何 修改 ， > 如 图 
6-12 所 示 。 











磁盘 文件 

mah 红 帆 企业 版 RHEL7_x86_64-0.vmdk 
(oy 处 理 器 
3788 (SCsI) 20 GB sg 

CASE (SCSI) 20 GB 当前 大 小 : 2.6 MB 
i Peeni DM \RHEL-server-... row. - vM 
E USB 控制 器 存在 最 大 大 小 : 20 GB 


说 盘 信息 


自动 检测 没有 为 此 硬盘 预 分 本 磁盘 空间 。 
硬盘 内 容 存储 在 多 个 文件 中 。 


磋 盘 实用 工具 
将 该 虚拟 机 磁盘 映射 到 本 地 疮 。 dU [映射 (M)..， 


整理 文件 碎片 并 整合 可 用 空间 。 dp | 碎片 整 里 (D) 


TERESE 


压缩 磋 盘 以 回收 未 使 用 的 空间 。 W [ ERO — 


RV)... 

















Lr 











图 6-12 ”查看 虚拟 机 硬件 设置 信息 


在 虚拟 机 中 模拟 添加 了 硬盘 设备 后 就 应 该 能 看 到 抽象 成 的 
人 硬盘 设备 文件 了 。 按 照 前 文 讲解 的 udev 服 务 命名 规则 ， 第 二 个 
被 识别 的 SCSI 设 备 应 该 会 被 保存 为 /devsdb， 这 个 就 是 便 盘 设 
备 文件 了 。 但 在 开始 使 用 该 硬盘 之 前 还 需要 进行 分 区 操作 ， 例 
如 从 中 取出 一 个 2GB 的 分 区 设备 以 供 后 面 的 操作 使 用 。 





6.5.1 fdisk 命 令 





在 Linux 系 统 中 ， 管 理 硬 盘 设 备 最 常用 的 方法 就 当 属 fdisk 
命令 了 。fdisk 命 令 用 于 管理 磁盘 分 区 ， 格 式 为 "fdisk [磁盘 名 
称 ”， 它 提供 了 集 添 加 、 删 除 、 转 换 分 区 等 功能 于 一 身 的 “一 
站 式 分 区 服务 ”。 不 过 与 前 面 讲解 的 直接 写 到 命令 后 面 的 参数 
不 同 ， 这 条 命令 的 参数 〈 见 表 6-5) 是 交互 式 的 ， 因 此 在 管理 
硬盘 设备 时 特别 方便 ， 可 以 根据 需求 动态 调整 。 























表 6-5 ”fdisk 命令 中 的 参数 以 及 作用 


作用 


mie 
pi 


ee 
列 出 所 有 可 用 的 分 区 类 型 
ee 





保存 并 退出 


不 保存 直接 退出 





我 们 首先 使 用 fdisk 命 令 来 尝试 管理 /dev/sdb 人 硬盘 设备 。 在 
看 到 提示 信息 后 输入 参数 p 来 查看 硬盘 设备 内 已 有 的 分 区 信 
上 县， 其 中 包括 了 硬盘 的 容量 大 小 、 扇 区 个 数 等 信息 : 

















[root@linuxprobe ~]# fdisk /dev/sdb 

Welcome to fdisk (util-linux 2.23.2). 

Changes will remain in memory only, until you decide to 
write them. 

Be careful before using the write command. 

Device does not contain a recognized partition table 
Building a new DOS disklabel with disk identifier @x47d 
24a34. 

Command (m for help): p 


Disk /dev/sdb: 21.5 GB, 21474836480 bytes, 41943040 sec 
tors 


Units = sectors of 1 * 512 = 512 bytes 

Sector size (logical/physical): 512 bytes / 512 bytes 
I/O size (minimum/optimal): 512 bytes / 512 bytes 
Disk label type: dos 

Disk identifier: 0x474d24a34 

Device Boot Start End Blocks Id System 





输入 参数 n 尝 试 添加 新 的 分 区 。 系 统 会 要 求 您 是 选择 继续 


和 输入 参数 p 来 创建 主 分 区 ， 还 是 输入 参数 e 来 创建 扩展 分 区 。 这 
里 输入 参数 p 来 创建 一 个 主 分 区 : 


Command (m for help): n 
Partition type: 


p primary (0 primary, @ extended, 4 free) 
e extended 
Select (default p): p 





在 确认 创建 一 个 主 分 区 后 ， 系 统 要 求 您 先 输 入 主 分 区 的 编 
号 。 我 们 在 前 文 得 知 ， 主 分 区 的 编号 范围 是 1 一 4， 因 此 这 里 输 
入 默认 的 1 就 可 以 了 。 接 下 来 系统 会 提示 定义 起 始 的 忆 区 位 
置 ， 这 不 需要 改动 ， 我 们 敲 击 回 车 键 保 留 默认 设置 即 可 ， 系 统 
会 自动 计算 出 最 靠 前 的 空 闪 局 区 的 位 置 。 最 后 ， 系 统 会 要 求 定 
义 分 区 的 结束 届 区 位 置 ， 这 其 实 就 是 要 去 定义 整个 分 区 的 大 小 
是 多 少 。 我 们 不 用 去 计算 扇 区 的 个 数 ， 只 需要 输入 +2G 即 可 创 
建 出 一 个 容量 为 2GB 的 硬盘 分 区 。 




















Partition number (1-4, default 1): 1 
First sector (2048-41943039, default 2048) :此 处 敲 击 回 车 
Using default value 2048 


Last sector, «sectors or +size{K,M,G} (2048-41943039, d 
efault 41943039): +2G 
Partition 1 of type Linux and of size 2 GiB is set 








再 次 使 用 参数 p 来 查看 硬盘 设备 中 的 分 区 信息 。 采 然 就 能 
看 到 一 个 名 称 为 /dev/sdbl1、 起 始 局 区 位 置 为 2048、 结 束 司 区 位 


置 为 4196351 的 主 分 区 了 。 这 时 候 千 万 不 要 直接 关闭 窗口 ， 而 
应 该 敲 击 参 数 w 后 回 车 ， 这 样 分 区 信息 才 是 真正 的 写 入 成 功 
WU 








Command (m for help): p 
Disk /dev/sdb: 21.5 GB, 21474836480 bytes, 41943040 sec 
tors 


Units - sectors of 1 * 512 - 512 bytes 

Sector size (logical/physical): 512 bytes / 512 bytes 
I/O size (minimum/optimal): 512 bytes / 512 bytes 
Disk label type: dos 


Disk identifier: @x47d24a34 

Device Boot Start End Blocks Id System 
/dev/sdb1 2048 4196351 2097152 83 Linux 
Command (m for help): w 

The partition table has been altered! 
Calling ioctl() to re-read partition table. 
Syncing disks. 





在 上 述 步 邓 执行 完毕 之 后 ，Linux 系 统 会 自动 把 这 个 硬盘 

主 分 区 抽象 成 /dev/sdb1 设 备 文件 。 我 们 可 以 使 用 file 命 令 查 看 

该 文件 的 属性 ， 但 是 刘 遂 老师 在 讲课 和 工作 中 发 现 ， 有 些 时 候 
系统 并 没有 自动 把 分 区 信息 同步 给 Linux 内 核 ， 而 且 这 种 情况 

似乎 还 比较 常见 (但 不 能 算 作 是 严重 的 bug〉。 我 们 可 以 输入 
partprobe 命 令 手 动 将 分 区 信息 同步 到 内 核 ， 而 且 一 般 推 荐 连续 
两 次 执行 该 命令 ， 效 果 会 更 好 。 如 果 使 用 这 个 命令 都 无 法 解决 
问题 ， 那 么 孢 重 局 计算 机 吧 ， 这 个 杀手 铀 百 斌 百灵， 一定 会 有 
用 的 。 








[root@linuxprobe ]# file /dev/sdb1 
/dev/sdb1: cannot open (No such file or directory) 
[root@linuxprobe ]# partprobe 


[root@linuxprobe ]# partprobe 
[root@linuxprobe ]# file /dev/sdb1 
/dev/sdb1: block special 








如 果 硬 件 存储 设备 没有 进行 格式 化 ， 则 Linux 系 统 无 法 得 
知 怎么 在 其 上 写 入 数据 。 因 此 ， 在 对 存储 设备 进行 分 区 后 还 需 
要 进行 格式 化 操作 。 在 Linux 系 统 中 用 于 格式 化 操作 的 命令 是 
mkfs。 这 条 命令 很 有 意思 ， 因 为 在 Shell 终 端 中 输入 mkfs 名 后 再 
敲 击 两 下 用 于 补 齐 命令 的 Tab 键 ， 会 有 如 下 所 示 的 效果 : 








[root@linuxprobe ~]# mkfs 

mkfs mkfs.cramfs mkfs.ext3 mkfs.fat mkf 
s.msdos mkfs.xfs 

mkfs.btrfs mkfs.ext2 mkfs.ext4 mkfs.minix mkf 
s.vfat 





对 ! 这 个 mkfs 命 令 很 贴心 地 把 常用 的 文件 系统 名 称 用 后 绥 
的 方式 保存 成 了 多 个 命令 文件 ， 用 起 来 也 非常 简单 一 一 mkfs. 
文件 类 型 名 称 。 例 如 要 格式 分 区 为 XFS 的 文件 系统 ， 则 命令 应 
为 mkfs.xfs /dev/sdb1 . 











[root@linuxprobe ~]# mkfs .xfs /dev/sdb1 
meta-data=/dev/sdb1 isize=256 agcount=4, agsize=131072 
blks 

= sectsz=512 attr=2, projid32bit=1 


= Crc=0 

data = bsize-4096 blocks=524288, imaxpct=25 

= sunit-0 swidth-0 blks 

naming =version 2 bsize-4096 ascii-ci-0 ftype=6 

log -internal log bsize-4096 blocks-z2560, version=2 
- sectsz-512 sunit-0 blks, lazy-count-1 

realtime =none extsz-4096 blocks=0, rtextents=0 








终于 完成 了 存储 设备 的 分 区 和 格式 化 操作 ， 接 下 来 就 是 要 
来 挂 载 并 使 用 存储 设备 了 。 与 之 相关 的 步骤 也 非常 简单 : 首先 
古 创建 一 个 用 于 挂 载 设 备 的 挂 载 扩 目录; 然后 使 用 mount 命 令 
将 存储 设备 与 挂 载 点 进行 天 联 ， 最 后 使 用 df -h 命 令 来 全 看 挂 载 
状态 和 人 硬盘 使 用 量 信 息 。 














[root@linuxprobe ~]# mkdir /newFS 

[root@linuxprobe ~]# mount /dev/sdb1 /newFS/ 
[root@linuxprobe ~]# df -h 

Filesystem Size Used Avail Use% Mounted 
on 

/dev/mapper/rhel-root 18G i 15G 20% / 
devtmpfs 905M 905M 6% /dev 
tmpfs 914M 914M 1% /dev/shm 


tmpfs 914M 905M 1% /run 
tmpfs 914M 914M 0% /sys/fs/ 
cgroup 

/dev/sr@ 3.5G i 100% /media/c 
drom 

/ dev/sda1 24%  /boot 
/dev/sdb1 2% /newFS 





65.2 du 命令 


BELAATE Ue CZ IMA ERR, Be POR AL AY DA SS eT EE SG 
点 目录 回 存 储 设备 中 写 入 文件 了 。 在 写 入 文件 之 前 ， 先 介绍 一 
个 用 于 查看 文件 数据 占用 量 的 du 命令 ， 其 格式 为 “du [选项 ] [ 文 
件 ]”。 简 单 来 说 ， 该 命令 就 是 用 来 得 看 一 个 或 多 个 文件 占用 了 
多 大 的 人 硬盘 空间 。 我 们 还 可 以 使 用 du -sh /* 命 令 来 查看 在 Linux 
系统 根 目 录 下 所 有 一 级 目录 分 别 占用 的 空间 大 小 。 下 面 ， 我 们 
先 从 某 些 目录 中 复制 过 来 一 批文 件 ， 然 后 查看 这 些 文件 总 共 占 
用 了 多 大 的 容量 : 





























[root@linuxprobe ~]# cp -rf /etc/* /newFS/ 
[root@linuxprobe ~]# ls /newFS/ 

abrt hosts pulse 

adjtime hosts.allow purple 

aliases hosts.deny qemu-ga 

aliases.db hp qemu-kvm 


alsa idmapd.conf radvd.conf 
alternatives init.d rc@.d 
anacrontab inittab rc1.d 

^5 WE PB OD 8 AN f ss 
[rootglinuxprobe ~]# du -sh /newFS/ 
33M /newFS/ 








细心 的 读者 一 定 还 记得 ， 前 面 在 讲解 mount 命 令 时 提 到 ， 
使 用 mount 命 令 挂 载 的 设备 文件 会 在 系统 下 一 次 重启 的 时 候 失 
效 。 如 宋 想 让 这 个 设备 文件 的 挂 载 水 入 有 效 ， 则 需要 把 挂 载 的 
ABS ASIA CEH: 


[root@linuxprobe ~]# vim /etc/fstab 

# 

# /etc/fstab 

# Created by anaconda on Wed May 4 19:26:23 2017 

# 

# Accessible filesystems, by reference, are maintained 
under '/dev/disk' 

# See man pages fstab(5), findfs(8), mount(8) and/or bl 
kid(8) for more info 

# 

/dev/mapper/rhel-root / 

xfs defaults 11 
UUID-812b1f7c-8b5b-43da-8c06-b9999e0fe48b /boot 

xfs defaults 12 

/dev/mapper /rhel-swap 
swap swap defaults 0 0 

/ dev/cdrom /media/cdrom 
iso9660 defaults 00 

/dev/sdb1 /newFS 

xfs defaults 0 0 





6.6 ”添加 交换 分 区 


SWAP (XH) 分 区 是 一 种 通过 在 硬盘 中 预先 划分 一 定 的 
空间 ， 然 后 将 把 内 存 中 暂时 不 常用 的 数据 临时 存放 到 人 硬盘 中 ， 
以 便 腾 出 物理 内 存 空间 让 更 活跃 的 程序 服务 来 使 用 的 技术 ， 其 
设计 目的 是 为 了 解决 真实 物理 内 存 不 足 的 问题 。 但 由 于 交换 分 
区 毕 竞 是 通过 硬盘 设备 读 写 数据 的 ， 速 度 肯 定 要 比 物 理 内 存 
慢 ， 所 以 只 有 当真 实 的 物理 内 存 耗 尽 后 才 会 调用 交换 分 区 的 资 
源 。 























交换 分 区 的 创建 过 程 与 前 文 讲 到 的 挂 载 并 使 用 存储 设备 的 
过 程 非常 相似 。 在 对 /dev/sdb 存 储 设 备 进行 分 区 操作 前 ， 有 必 
要 先 说 一 下 交换 分 区 的 划分 建议 :在 生产 环境 中 ， 交 换 分 区 的 
大 小 一 般 为 真实 物理 内 存 的 1.5 一 2 倍 ， 为 了 让 大 家 更 明显 地 感 
受 交换 分 区 空间 的 变化 ， 这 里 取出 一 个 大 小 为 5GB 的 主 分 区 作 
为 交换 分 区 资源 。 在 分 区 创建 完毕 后 保存 并 退出 即 可 : 

















[root@linuxprobe ~]# fdisk /dev/sdb 

Welcome to fdisk (util-linux 2.23.2). 

Changes will remain in memory only, until you decide to 
write them. 

Be careful before using the write command. 

Device does not contain a recognized partition table 
Building a new DOS disklabel with disk identifier @xb3d 
2/7cel. 

Command (m for help): n 


Partition type: 

p primary (1 primary, © extended, 3 free) 

e extendedSelect (default p): p 

Partition number (2-4, default 2): 

First sector (4196352-41943039, default 4196352): 此 处 
apg th [Hl 4E. 

Using default value 4196352 

Last sector, «sectors or +size{K,M,G} (4196352-41943039 
» default 41943039): +5G 

Partition 2 of type Linux and of size 5 GiB is set 
Command (m for help): p 

Disk /dev/sdb: 21.5 GB, 21474836480 bytes, 41943040 sec 
tors 

Units = sectors of 1 * 512 = 512 bytes 

Sector size (logical/physical): 512 bytes / 512 bytes 
I/O size (minimum/optimal): 512 bytes / 512 bytes 

Disk label type: dos 

Disk identifier: 0O0xb0ced57f 


Device Boot Start End Blocks Id S 
ystem 

/dev/sdb1 2048 4196351 2097152 83 L 
inux 
/ dev/sdb2 4196352 14682111 5242880 83 L 
inux 


Command (m for help): w 

The partition table has been altered! 

Calling ioctl() to re-read partition table. 

WARNING: Re-reading the partition table failed with err 

or 16: Device or resource busy. 

The kernel still uses the old table. The new table will 
be used at 

the next reboot or after you run partprobe(8) or kpartx 
(8) 

Syncing disks. 





使 用 SWAP 分 区 专用 的 格式 化 命令 mkswap， 对 新 建 的 主 分 
区 进行 格式 化 操作 : 


[root@linuxprobe ~]# mkswap /dev/sdb2 


Setting up swapspace version 1, size = 5242876 KiB 
no label, UUID-2972f9cb-17f0-4113-84c6-c64b97c40c75 





使 用 swapon 命 令 把 准备 好 的 SWAP 分 区 设备 正式 挂 载 到 系 
统 中 。 我 们 可 以 使 用 free -m 命 令 查 看 交换 分 区 的 大 小 变化 〈 由 
2047MB 增 加 到 7167MB : 


[root@linuxprobe ~]# free -m 
total used free 
fers cached 
Mem: 1483 782 701 
0 254 
-/+ buffers/cache: 526 957 
Swap: 2047 0 2047 
[root@linuxprobe ~]# swapon /dev/sdb2 


[root@linuxprobe ~]# free -m 
total used free shared 
fers cached 
Mem: 1483 785 9 
0 254 
-/+ buffers/cache: 530 
Swap: 7167 0 








为 了 能 够 让 新 的 交换 分 区 设备 在 重 局 后 依然 生效 ， 需 要 按 
照 下 面 的 格式 将 相关 信息 写 入 到 配置 文件 中 ， 并 记得 保存 : 








[root@linuxprobe ~]# vim /etc/fstab 

# 

# /etc/fstab 

# Created by anaconda on Wed May 4 19:26:23 2017 
# 


# Accessible filesystems, by reference, are maintained 
under '/dev/disk' 

# See man pages fstab(5), findfs(8), mount(8) and/or bl 
kid(8) for more info 

# 

/dev/mapper/rhel-root / 


xfs defaults 1 1 
UUID-812b1f7c-8b5b-43da-8c06-b9999e0fe48b /boot 

xfs defaults 1 2 

/dev/mapper /rhel-swap 
swap swap defaults © 0 

/ dev/cdrom /media/cdrom 
iso9660 | defaults o 0 

/ dev/sdb1 /newFS 

xfs defaults o 0 

/ dev/sdb2 Swap 

swap defaults 0 0 





6.7 ”做 盘 容量 配额 





本 书 在 前 面 曾经 讲 到 ，Linux 系 统 的 设计 初衷 就 是 让 许多 
人 一 起 使 用 并 执行 各 自 的 任务 ， 从 而 成 为 多 用 户 、 多 任务 的 操 
VERS. (Ase, HEP RAVER ER AREY, unius AT 
地 在 Linux 系 统 上 创建 文件 或 者 存放 电影 ， 硬 盘 空 间 总 有 一 天 
会 被 占 满 。 针 对 这 种 情况 ，root 管 理 员 就 需要 使 用 人 磁盘 容量 配 
额 服 务 来 限制 某 位 用 户 或 某 个 用 户 组 针对 特定 文件 夹 可 以 使 用 
的 最 大 便 盘 空间 或 最 大 文件 个 数 ， 一 旦 达到 这 个 最 大 值 束 不 再 
允许 继续 使 用 。 可 以 使 用 quota 命 令 进 行 磁盘 容量 配额 管理 ， 
从 而 限制 用 户 的 硬盘 可 用 容量 或 所 能 创建 的 最 大 文件 个 数 。 
quota 命 令 还 有 软 限 制 和 硬 限 制 的 功能 。 


















































。 软 限制 : 当 达 到 软 限制 时 会 提示 用 户 ， 但 仍 人 允许 用 户 在 限 
定 的 额度 内 继续 使 用 。 

。 便 限制 ， 当 达到 人 硬 限制 时 会 提示 用 户 ， 且 强制 终止 用 户 的 
操作 。 


RHEL 7 系统 中 已 经 安装 了 quota 磁 盘 容 量 配额 服务 程序 
包 ， 但 存储 设备 却 默认 没有 开启 对 quota 的 文 持 ， 此 时 需要 手 
动 编辑 配置 文件 ， 让 RHEL 7 系统 中 的 /boot 目 录 能 够 支持 quota 
磁盘 配额 技术 。 另 外 ， 对 于 学 习 过 早期 的 Linux 系 统 ， 或 者 具 
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期 的 Linux 系 统 要 想 让 硬盘 设备 文 持 quota 磁 盘 容量 配额 服务 ， 
使 用 的 是 usrquota 参 数 ， 而 RHEL 7 系统 使 用 的 则 是 uquota 参 
数 。 在 重启 系统 后 使 用 mount 命 令 查 看 ， 即 可 发 现 /boot 目 录 已 
经 支持 quota 人 磁盘 配额 技术 了 : 





[root@linuxprobe ~]# vim /etc/fstab 

# 

# /etc/fstab 

# Created by anaconda on Wed May 4 19:26:23 2017 

# 

# Accessible filesystems, by reference, are maintained 

under '/dev/disk' 

# See man pages fstab(5), findfs(8), mount(8) and/or bl 

kid(8) for more info 

# 

/dev/mapper/rhel-root / xfs 
defaults 11 

UUID-812b1f7c-8b5b-43da-8c06-b9999e0fe48b /boot 

xfs defaults,uquota 1 2 

/dev/mapper /rhel-swap swa 

p swap defaults 

/dev/cdrom /media/cdrom iso 

9660 defaults 

/ dev/sdb1 /newFS xfs 
defaults 

/ dev/sdb2 Swap swa 

p defaults © 6 

[root@linuxprobe ~]# reboot 

[root@linuxprobe ~]# mount | grep boot 

/dev/sda1 on /boot type xfs (rw,relatime,seclabel,attr2 

;inode64,usrquota) 





接 下 来 创建 一 个 用 于 检查 quota 人 磁盘 容量 配额 效果 的 用 户 
tom， 并 针对 /boot 目 录 增 加 其 他 人 的 写 权 限 ， 保 证 用 户 能 够 正 
常 写 入 数据 : 


[root@linuxprobe ~]# useradd tom 
[root@linuxprobe ~]# chmod -Rf o+w /boot 


6.7.1 xfs_quota 命 令 





xfs_quota 命 令 是 一 个 专门 针对 XFS 文件 系统 来 管理 quota 磁 
盘 容 量 配额 服务 而 设计 的 命令 ， 格 式 为 “quota [参数 ] 配额 文件 
系统 ”。 其 中 ，-c 参 数 用 于 以 参数 的 形式 设置 要 执行 的 命令 ; -x 
参数 是 专家 模式 ， 让 运 维 人 员 能 够 对 quota 服 务 进行 更 多 复杂 
的 配置 。 接 下 来 我 们 使 用 xfs_quota 命 令 来 设置 用 户 tom 对 /boot 
目录 的 quota 人 磁盘 容量 配额 。 具 体 的 限额 控制 包括 : 硬盘 使 用 
量 的 软 限 制 和 硬 限制 分 别 为 3MB 和 6MB; 创建 文件 数量 的 软 限 
制 和 硬 限制 分 别 为 3 个 和 6 个 。 




















[root@linuxprobe ~]# xfs_quota -x -c ‘limit bsoft=3m bh 
ard=6m isoft=3 ihard=6 

tom' /boot 

[root@linuxprobe ~]# xfs quota -x -c report /boot 

User quota on /boot (/dev/sdal) Blocks 

User ID Used Soft Hard Warn/Grace 


root 95084 9 9 680 [-------- ] 
tom 0 3072 6144 00 [-------- ] 
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户 ， 然 后 分 别 符 试 创建 一 个 体积 为 5MB 和 8MB 的 文件 。 可 以 及 
现 ， 在 创建 8MB 的 文件 时 受到 了 系统 限制 : 








[root@linuxprobe ~]# su - tom 

[tom@linuxprobe ~]$ dd if=/dev/zero of=/boot/tom bs=5M 
count=1 

1+0 records in 

1+0 records out 

5242880 bytes (5.2 MB) copied, 0.123966 s, 42.3 MB/s 


[tom@linuxprobe ~]$ dd if=/dev/zero of=/boot/tom bs-8M 
count=1 

dd: error writing ‘/boot/tom’: Disk quota exceeded 

1+0 records in 

0*0 records out 

6291456 bytes (6.3 MB) copied, 0.0201593 s, 312 MB/s 





6.7.2 edquotaíj 





edquota 命 令 用 于 编辑 用 户 的 quota 配 额 限制 ， 格 式 
为 “edquota [人 参数] [用 户 ] ”。 在 为 用 户 设 置 了 guota 人 磁盘 容量 配 
额 限制 后 ， 可 以 使 用 edquota 命 令 按 需 修改 限额 的 数值 。 其 
中 ，-u 参 数 表示 要 针对 哪个 用 户 进 行 设置 ，-g 参 数 表示 要 针对 
哪个 用 户 组 进行 设置 。edquota 命 令 会 调用 Vi 或 Vim 编 辑 器 来 让 
root 管 理 员 修改 要 限制 的 具体 细节 。 下 面 把 用 户 tom 的 硬盘 使 
用 量 的 硬 限额 从 5MB 提 升 到 8MB: 











[root@linuxprobe ~]# edquota -u tom 
Disk quotas for user tom (uid 1001): 
Filesystem blocks soft hard  inodes soft hard 
/dev/sda 6144 3072 8192 1 3 6 
[root@linuxprobe ~]# su - tom 
Last login: Mon Sep 7 16:43:12 CST 2017 on pts/6 
[tom@linuxprobe ~]$ dd if=/dev/zero of=/boot/tom bs-8M 
count=1 


140 records in 


140 records out 

8388608 bytes (8.4 MB) copied, 0.0268044 s, 313 MB/s 
[tom@linuxprobe ~]$ dd if=/dev/zero of=/boot/tom bs-10M 
count=1 

dd: error writing ‘/boot/tom’: Disk quota exceeded 

1+@ records in 

0+0 records out 

8388608 bytes (8.4 MB) copied, 0.167529 s, 50.1 MB/s 





6.8 软 便 方式 链接 








当 引 领 大 家 学 习 完 本 章 所 有 的 硬盘 管理 知识 之 后 ， 刘 遂 老 
师 终 于 可 以 放心 大 胆 地 讲解 Linux 系 统 中 的 “快捷 方式 ”了 。 在 
Windows 系 统 中 ， 快 捷 方式 就 是 指向 原始 文件 的 一 个 链接 文 
件 ， 可 以 让 用 户 从 不 同 的 位 置 来 访问 原始 的 文件 ， 原 文件 一 旦 
被 删除 或 勇 切 到 其 他 地 方 后 ， 会 导致 链接 文件 失效 。 但 是 ， 这 
个 看 似 简单 的 东西 在 Linux 系 统 中 可 不 太一 样 。 








在 Linux 系 统 中 存在 便 链 接 和 软 连接 两 种 文件 。 


。 便 链接 Chard link) : 可 以 将 它 理解 为 一 个 “ 指 同 原始 文 
件 inode 的 指针 >， 系统 不 为 它 分 配 独立 的 inode 和 文件 。 所 
以 ， 硬 链接 文件 与 原始 文件 其 实 是 同一 个 文件 ， 只 是 名 字 
不 同 。 我 们 每 添加 一 个 硬 链接 ， 该 文件 的 ipode 连 接 数 就 会 
增加 1; 而 且 只 有 当 该 文件 的 inode 连 接 数 为 0 时 ， 才 算 彻 底 
将 它 删 除 。 换 言 之 ， 由 于 硬 链接 实际 上 是 指向 原文 件 inode 
的 指针 ， 因 此 即便 原始 文件 被 删除 ， 依 然 可 以 通过 硬 链 接 
文件 来 访问 。 需 要 注意 的 是 ， 由 于 技术 的 局 限 性 ， 我 们 不 
能 跨 分 区 对 目录 文件 进行 链接 。 

。 软 链接 (也 称 为 符号 链接 [symbolic link]) : 仅仅 包含 所 
链接 文件 的 路 径 名 ， 因 此 能 链接 目录 文件 ， 也 可 以 跨越 文 














件 系统 进行 链接 。 但 是 ， 当 原始 文件 被 删除 后 ， 链 接 文件 
也 将 失效 ， 从 这 一 点 上 来 次 与 Windows 系 统 中 的 “快捷 方 
式 ” 具 有 一 样 的 性 质 。 





In 命令 


命令 用 于 创建 链接 文件 ， 格 式 为 "In [选项 ] 目标 >， 其 可 
用 的 参数 以 及 作用 如 表 6-6 所 示 。 在 使 用 mm 命令 时 ， 是 人 否 添 加 -S 
参数 ， 将 创建 出 性 质 不 同 的 两 种 “快捷 方式 ”。 因 此 如 果 没 有 扎 
实 的 理论 知识 和 实践 经 验 做 铺垫 ， 尽 管 能 够 成 功 完 成 实验 ， 但 
永远 不 会 明日 为 什么 会 成 功 。 


表 6-6 ”In 命令 中 可 用 的 参数 以 及 作用 


创建 “符号 链接 * (如 果 不 带 -s 参 数 ， 则 默认 创建 硬 链接 ) 


强制 创建 文件 或 目录 的 链接 





Ta mi HI y W fE 
显示 创建 链接 的 过 程 





为 了 更 好 地 理解 软 链接 、 硬 链接 的 不 同性 质 ， 接 下 来 创建 
一 个 类 似 于 Windows 系 统 中 快捷 方式 的 软 链接 。 这 样 ， 当 原始 
文件 被 删除 后 ， 就 无 法 读 取 新 建 的 链接 文件 了 。 


[root@linuxprobe ~]# echo "Welcome to linuxprobe.com" > 
readme.txt 

[root@linuxprobe ~]# ln -s readme.txt readit.txt 
[root@linuxprobe ~]# cat readme.txt 

Welcome to linuxprobe.com 

[rootglinuxprobe ~]# cat readit.txt 


Welcome to linuxprobe.com 

[root@linuxprobe ~]# ls -1 readme.txt 

-rw-r--r-- 1 root root 26 Jan 11 00:08 readme.txt 
[root@linuxprobe ~]# rm -f readme.txt 
[root@linuxprobe ~]# cat readit.txt 

cat: readit.txt: No such file or directory 





接 下 来 针对 一 个 原始 文件 创建 一 个 硬 链接 ， 即 相当 于 针对 
原始 文件 的 硬盘 存储 位 置 创建 了 一 个 指针 ， 这 样 一 来 ， 新 创建 
的 这 个 人 硬 链 接 束 不 再 依赖 于 原始 文件 的 名 称 等 信息 ， 也 不 会 因 
为 原始 文件 的 删除 而 导致 无 法 读 取 。 同 时 可 以 看 到 创建 硬 链 接 
后 ， 原 始 文件 的 硬盘 链接 数量 增加 到 了 2。 














[root@linuxprobe ~]# echo "Welcome to linuxprobe.com" > 
readme.txt 

[root@linuxprobe ~]# ln readme.txt readit.txt 
[root@linuxprobe ~]# cat readme.txt 

Welcome to linuxprobe.com 

[root@linuxprobe ~]# cat readit.txt 

Welcome to linuxprobe.com 


[root@linuxprobe ~]# ls -1 readme.txt 

-rw-r--r-- 2 root root 26 Jan 11 00:13 readme.txt 
[root@linuxprobe ~]# rm -f readme.txt 
[root@linuxprobe ~]# cat readit.txt 

Welcome to linuxprobe.com 





F A 


1. Amhome 目 录 与 root 目 录 内 存放 的 文件 有 何 相 同 点 以 及 不 
同 点 ? 

















x: 这 两 个 目录 都 是 用 来 存放 用 户 的 家 目录 数据 的 ， 但 
是 ，/root 目 录 存 放 的 是 root 管 理 员 的 家 目录 数据 。 


2. 假如 一 个 设备 的 文件 名 称 为 /dev/sdb， 可 以 确认 它 是 主 
板 第 二 个 插 模 上 的 设备 吗 ? 


答 : 不 一 定 ， 因 为 设备 的 文件 名 称 是 由 系统 的 识别 顺序 来 
决定 的 。 





3. 如 果 硬 盘 中 需要 5 个 分 区 ， 至 少 需 要 几 个 逻辑 分 区 ? 


答 : 可 以 选用 创建 3 个 主 分 区 +1 个 扩展 分 区 的 方法 ， 然 后 
把 扩展 分 区 再 分 成 2 个 逻辑 分 区 ， 即 有 了 5 个 分 区 。 





4. /dev/sda5 是 主 分 区 还 是 逻辑 分 区 ? 


答 : 逻辑 分 区 。 





5. 哪个 服务 决定 了 设备 在 /dev 目 录 中 的 名 称 ? 





答 : udev 设 备 管 理 器 服务 。 


6. 用 一 句 话 来 描述 挂 载 操 作 。 





答 : 当 用 户 需 要 使 用 硬盘 设备 或 分 区 中 的 数据 时 ， 需 要 先 


将 其 与 一 个 已 存在 的 目录 文件 进行 关联 ， 而 这 个 关联 动作 了 就 
EER” o 


7. 在 配置 quota 磁 盘 容 量 配 额 服务 时 ， 软 限制 数值 必须 小 
于 便 限制 数值 么 ? 


答 ; 不 一 定 ， 软 限制 数值 可 以 小 于 等 于 硬 限制 数值 。 


ri 








8. 4 BC UA, ABA ZATA E IT TE EE BE UI I9] 
到 这 个 原始 文件 么 ? 





答 : 可 以 。 


第 7 章 ”使 用 RAID 与 LVM 人 磁盘 阵列 技术 







e RAID Cfr JUR HREM); 
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在 学 习 了 第 6 章 讲解 的 硬盘 设备 分 区 、 格 式 化 、 挂 载 等 知 
识 后 ， 本 章 将 深入 讲解 各 个 常用 RAID (Redundant Array of 
Independent Disks， 独 立 元 余 磁 盘 阵 列 ) 技术 方案 的 特性 ， 并 








通过 实际 部 署 RAID 10、RAID 5+ 备 份 盘 等 方案 来 更 直观 地 查 
看 RAID 的 强大 效果 ， 以 便 进 一 步 满 足 生 产 环境 对 硬盘 设备 的 
IO 读 写 速度 和 数据 见 余 备份 机 制 的 需求 。 同 时 ， 考 虑 到 用 户 可 
能 会 动态 调整 存储 资源 ， 本 章 还 将 介绍 LVM (Logical Volume 
Manager, ZAE Eas) WRB. PAS Uü^bh. REAR E 
载 删除 的 相关 知识 。 相 信 读 者 在 学 完 本 章 内 容 后 ， 便 可 以 在 企 
业 级 生产 环境 中 灵活 运用 RAID 和 LVM 来 满足 对 存储 资源 的 高 
级 管理 需求 了 。 

















7.1 RAID (独立 元 余 磁 盘 阵 列 ) 


近年 来 ， CPU 的 处 理性 能 保持 着 高 速 增长 ，Intel] 公 司 在 
2017 年 最 新 发 布 的 i9-7980XE 处 理 器 芯片 更 是 达到 了 18 核 心 36 
线程 。 但 与 此 同时 ， 硬 盘 设备 的 性 能 提升 却 不 是 很 大 ， 因 此 逐 
渐 成 为 当代 计算 机 整体 性 能 的 瓶颈 。 而 且 ， 由 于 硬盘 设备 需要 
进行 持续 、 频 繁 、 大 量 的 IO 操作 ， 相 较 于 其 他 设备 ， 其 损坏 几 
率 也 大 幅 增 加 ， 导 致 重要 数据 丢失 的 几率 也 随 之 增加 。 








1988 年 ， 加 利 福 尼 亚 大 学 伯克利 分 校 首次 提出 并 定义 了 
RAID 技 术 的 概念 。RAID 技 术 通 过 把 多 个 人 硬盘 设备 组 合成 一 个 
容量 更 大 、 安 全 性 更 好 的 磁盘 阵列 ， 并 把 数据 切割 成 多 个 区 段 
后 分 别 存放 在 各 个 不 同 的 物理 硬盘 设备 上 ， 然 后 利用 分 散 读 写 
技术 来 提升 磁盘 阵列 整体 的 性 能 ， 同 时 把 多 个 重要 数据 的 副本 
同步 到 不 同 的 物理 硬盘 设备 上 ， 从 而 起 到 了 非常 好 的 数据 元 余 
备份 效果 。 








任何 事物 都 有 它 的 两 面 性 。RAID 技 术 确实 具有 非常 好 的 
数据 元 余 备 份 功能 ， 但 是 它 也 相应 地 提高 了 成 本 文 出 。 惑 像 原 
本 我 们 只 有 一 个 电话 本 ， 但 是 为 了 避免 遗失 ， 我 们 将 联系 人 号 
码 信息 写成 了 两 份 ， 目 然 要 为 此 多 买 一 个 电话 本 ， 这 也 就 相应 
地 提升 了 成 本 文 出 。RAID 技 术 的 设计 初衷 是 减少 因为 采购 硬 














盘 设备 带 来 的 费用 文 出 ， 但 是 与 数据 本 身 的 价值 相 比 较 ， 现 代 
企业 更 看 重 的 则 是 RAID 技 术 所 具备 的 元 余 备 份 机 制 以 及 带 来 
的 硬盘 吞吐 量 的 提升 。 也 就 是 说 ，RAID 不 仅 降 低 了 硬盘 设备 
损坏 后 丢失 数据 的 几率 ， 还 提升 了 硬盘 设备 的 读 写 速度 ， 所 以 
它 在 绝 大 多 数 运营 商 或 大 中 型 企业 中 得 以 广泛 部 团 和 应 用 。 














出 于 成 本 和 技术 方面 的 考虑 ， 需 要 针对 不 同 的 需求 在 数据 
可 靠 性 及 读 写 性 能 上 作出 权衡 ， 制 定 出 满足 各 上 自 需 求 的 不 同方 
案 。 目 前 已 有 的 RAID 磁 盘 阵 列 的 方案 至 少 有 十 几 种 ， 而 刘 遂 
老师 接 下 来 会 详细 讲解 RAID 0、RAID 1、RAID 5 与 RAID 10 
这 4 种 最 常见 的 方案 。 





7.1.1 RAID 0 


RAID 0 技术 把 多 块 物理 硬盘 设备 〈 至 少 两 块 ) 通过 硬件 
或 软件 的 方式 串联 在 一 起 ， 组 成 一 个 大 的 卷 组 ， 并 将 数据 依次 
写 入 到 各 个 物理 硬盘 中 。 这 样 一 来 ， 在 最 理想 的 状态 下 ， 人 硬盘 
设备 的 读 写 性 能 会 提升 数 倍 ， 但 是 知 任意 一 块 硬盘 发 生 故 障 将 
导致 整个 系统 的 数据 都 受到 破坏 。 通 俗 来 说 ，RAID 0 技术 能 
够 有 效 地 提升 硬盘 数据 的 吞吐 速度 ， 但 是 不 具备 数据 备份 和 错 
误 修 复 能 力 。 如 图 7-1 所 示 ， 数 据 被 分 别 写 入 到 不 同 的 硬盘 设 
备 中 ， 即 disk1 和 disk2 人 硬盘 设备 会 分 别 保存 数据 资料 ， 最 终 实 
现 分 开 写 入 、 读 取 的 效果 。 
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图 7-1 RAID 0 技术 示意 图 





7.1.2 RAID 1 


尽管 RAID 0 技术 提升 了 硬盘 设备 的 读 写 速度 ， 但 是 它 是 
将 数据 依次 写 入 到 各 个 物理 硬盘 中 ， 也 就 是 说 ， 它 的 数据 是 分 


开 和 存放 的 ， 其 中 任何 一 块 硬 盘 发 生 故障 都 会 损坏 整个 系统 的 数 
据 。 因 此 ， 如 果 生 产 坏 境 对 人 硬盘 设备 的 读 写 速度 没有 要 求 ， 而 
是 希望 增加 数据 的 安全 性 时 ， 束 需要 用 到 RAID 1 技术 了 了 。 








在 图 7-2 所 示 的 RAID 1 技术 示意 图 中 可 以 看 到 ， 它 是 把 两 
块 以 上 的 硬盘 设备 进行 绑 定 ， 在 写 入 数据 时 ， 是 将 数据 同时 写 
入 到 多 块 便 盘 设 备 上 《可 以 将 其 视 为 数据 的 镜像 或 备份 ) 。 当 
其 中 茶 一 块 硬盘 发 生 故 障 后 ， 一 般 会 立即 目 动 以 热 区 换 的 方式 
来 恢复 数据 的 正常 使 用 。 
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图 7-2 RAID 1 技术 示意 图 








RAID 1 技术 虽然 十 分 注重 数据 的 安全 性 ， 但 是 因为 是 在 
多 块 硬盘 设备 中 写 入 了 相同 的 数据 ， 因 此 硬盘 设备 的 利用 率 得 
以 下 降 ， 从 理论 上 来 说 ， 图 7-2 所 示 的 硬盘 空间 的 真实 可 用 率 


只 有 50%， 由 三 块 便 盘 设备 组 成 的 RAID 1 磁盘 阵列 的 可 用 率 只 
有 339%6 左 右 ， 以 此 类 推 。 而 且 ， 由 于 需要 把 数据 同时 写 入 到 两 
块 以 上 的 人 硬盘 设备 ， 这 无 疑 也 在 一 定 程 度 上 增 大 了 系统 计算 功 
能 的 负载 。 


那么 ， 有 没有 一 种 RAID 方 案 既 考 碟 到 了 硬盘 设备 的 读 写 
速度 和 数据 安全 性 ， 还 兼顾 了 成 本 问题 呢 ? 实际 上 ， 单 从 数据 
安全 和 成 本 问题 上 来 讲 ， 残 不 可 能 在 保持 原 有 硬盘 设备 的 利用 
率 且 还 不 增加 新 设备 的 情况 下 ， 能 大 幅 提升 数据 的 安全 性 。 刘 
咱 老 师 也 没有 必要 忽悠 各 位 读者 ， 下 面 将 要 讲解 的 RAID 51x 
术 虽 然 在 理论 上 兼顾 了 三 者 〈 读 写 速度 、 数 据 安全 性 、 成 
本 ) ， 但 实际 上 更 像 是 对 这 三 者 的 “相互 妥协 ”。 








7.1.3 RAID 5 


如 图 7-3 所 示 ，RAID5 技 术 是 把 硬盘 设备 的 数据 奇偶 校 验 
言 息 保 存 到 其 他 硬盘 设备 中 。RAID 5 磁盘 阵列 组 中 数据 的 奇 
偶 校 验 信 息 并 不 是 单独 保存 到 某 一 块 硬盘 设备 中 ， 而 是 存储 到 
除 自 身 以 外 的 其 他 每 一 块 硬盘 设备 上 ， 这 样 的 好 处 是 其 中 任何 
一 设备 损坏 后 不 至 于 出 现 致命 缺陷 ， 图 7-3 中 parity 部 分 存放 的 
束 是 数据 的 奇偶 校 验 信息 ， 换 句 话 说 ， 束 是 RAID 5 技术 实际 
上 没有 备份 硬盘 中 的 真实 数据 信息 ， 而 是 当 便 盘 设 备 出 现 问题 
后 通过 奇偶 校 验 信息 来 尝试 重建 损坏 的 数据 。RAID 这 样 的 技 
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储 成 本 问题 。 





图 7-3 ”RAID5 技 术 示 意图 


7.1.4 RAID 10 





鉴于 RAID 5 技术 是 因为 硬盘 设备 的 成 本 问题 对 读 写 速度 
和 数据 的 安全 性 能 而 有 了 一 定 的 妥协 ， 但 是 大 部 分 企业 更 在 乎 
的 是 数据 本 里 的 价值 而 非 人 硬盘 价格 ， 因 此 生产 环境 中 主要 使 用 
RAID 10 技 术 。 





顾名思义 ，RAID 10 技 术 是 RAID 1+RAID 0 技术 的 一 个 “组 
合体 ”。 如 图 7-4 所 示 ，RAID 10 技 术 需 要 至 少 4 块 硬盘 来 组 建 ， 
其 中 先 分 别 两 两 制作 成 RAID 1 磁盘 阵列 ， 以 保证 数据 的 安全 


性 ， 然 后 再 对 两 个 RAID 1 磁盘 阵列 实施 RAID 0 技术 ， 进 一 步 
提高 硬盘 设备 的 谈 写 速度 。 这 样 从 理论 上 来 讲 ， 只 要 坏 的 不 是 
同一 组 中 的 所 有 硬盘 ， 那 么 最 多 可 以 损坏 50% 的 硬盘 设备 而 不 
丢失 数据 。 由 于 RAID 10 技 术 继 承 了 RAID 0 的 高 读 写 速度 和 
RAID 1 的 数据 安全 性 ， 在 不 考虑 成 本 的 情况 下 RAID 10 的 性 能 
都 超过 了 RAID 5， 因 此 当前 成 为 广泛 使 用 的 一 种 存储 技术 。 
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图 7-4 RAID 10 技 术 示 意图 
7.1.5 部署 磁盘 阵列 


在 具备 了 上 一 章 的 硬盘 设备 管理 基础 之 后 ， 再 来 部 署 
RAID 和 LVM 就 变 得 十 分 轻松 了 。 首 先 ， 需 要 在 虚拟 机 中 添加 
4 块 硬盘 设备 来 制作 一 个 RAID 10 磁 盘 了 阵列， 如 图 7-5 所 示 。 








eee ere 内 存 大 小 必须 为 4 MB 


3788 (SCSI) 
CAE 2 (SCSI) 
CAE 3 (SCSI) 
EE 4 (SCSI) 
CAE 5 (SCSI) Qa 
© CD/DVD (SATA) ”正在 使 用 文件 D: SER RHEL-server-... 
TS resis RENEE 4 H incid 7 
T |n B 

"a — 发 生 内 存 交 换 。】 
6280 MB 


此 虚拟 机 的 内 存 (M): 2048 [$] MB 


D 建议 内 存 
2048 MB 


口 建议 的 最 小 客户 机 操作 系统 内 存 
1024 MB 


dy 必须 先 关 闭 虚 拟 机 ， 才 能 降低 内 存量 。 





Jp 虚拟 机 最 多 将 此 内 存 的 768 MB 用 作 图 形 内 存 。 您 可 以 
在 显示 器 “设置 页 面 中 更 羽 此 数 旱 。 
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这 几 块 硬盘 设备 是 模拟 出 来 的 ， 不 需要 特意 去 买 几 块 真实 
的 物理 硬盘 插 到 电脑 上 。 需 要 注意 的 是 ， 一 定 要 记得 在 关闭 系 
统 之 后 ， 再 在 虚拟 机 中 添加 硬盘 设备 ， 否 则 可 能 会 因为 计算 机 
架构 的 不 同 而 导致 虚拟 机 系统 无 法 识别 添加 的 硬盘 设备 。 





mdadm 命 令 用 于 管理 Linux 系 统 中 的 软件 RAID 硬 盘 阵 列 ， 


格式 为 “mdadm [模式 ] <RAID 设 备 名 称 > [选项 ] [成 员 设备 名 
称 ]”。 





当前 ， 生 产 环境 中 用 到 的 服务 器 一 般 都 配备 RAID 阵 列 
卡 ， 尽 管 服 务 器 的 价格 越 来 越 便 宜 ， 但 是 我 们 没有 必要 为 了 做 
一 个 实验 而 去 单独 购买 一 台 服 务 器 ， 而 是 可 以 会 用 mdadm 命 令 
在 Linux 系 统 中 创建 和 管理 软件 RAID 人 磁盘 阵列 ， 而 且 它 涉及 的 
理论 知识 的 操作 过 程 与 生产 环境 中 的 完全 一 致 。mdadm 命 令 的 
第 用 参数 以 及 作用 如 表 7-1 所 示 。 











表 7-1 mdadm 命 令 的 常用 参数 和 作用 
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接 下 来 ， 使 用 mdadm 命 令 创 建 RAID 10, FK 
为 “/dev/md0”。 








第 6 章 中 讲 到 ，udev 是 Linux 系 统 内 核 中 用 来 给 人 硬件 命名 的 
服务 ， 其 命名 规则 也 非常 简单 。 我 们 可 以 通过 命名 规则 猜测 到 
第 二 个 SCSI 存 储 设备 的 名 称 会 是 /dev/sdb， 然 后 依 此 类 推 。 使 
用 人 硬盘 设备 来 部 团 RAID 人 磁盘 阵 列 很 像 是 将 几 位 同学 组 成 一 个 
班级 ， 但 总 不 能 将 班级 命名 为 /dev/sdbcde 吧 。 尺 管 这 样 可 以 一 
眼 开 出 它 是 由 哪些 元 素 组 成 的 ， 但 是 并 不 利于 我 们 的 记忆 和 阅 
读 。 更 何况 如 果 我 们 是 使 用 10、50、100 个 硬盘 来 部 团 RAID 磁 
盘 阵 列 呢 ? 














此 时 ， 就 需要 使 用 mdadm 中 的 参数 了 。 其 中 ，-C 参 数 代表 
创建 一 个 RAID 阵 列 卡 ;，-v 参 数 显示 创建 的 过 程 ， 同 时 在 后 面 
退 加 一 个 设备 名 称 /dewmd0， 这 样 /devwmd0 束 是 创建 后 的 RAID 
磁盘 阵列 的 名 称 ; -a yes 参 数 代 表 上 自动 创建 设备 文件 ，-n 4 参数 
代表 使 用 4 块 硬盘 来 部 署 这 个 RAID 磁 盘 阵列 ;而 -1 10 参 数 则 代 
表 RAID 10 方 案 ， 最 后 再 加 上 4 块 硬盘 设备 的 名 称 就 搞定 了 。 





[root@linuxprobe ~]# mdadm -Cv /dev/md@ -a yes -n 4 -1 
10 /dev/sdb /dev/sdc 

/dev/sdd /dev/sde 

mdadm: layout defaults to n2 


mdadm: layout defaults to n2 

mdadm: chunk size defaults to 512K 

mdadm: size set to 20954624K 

mdadm: Defaulting to version 1.2 metadata 
mdadm: array /dev/md@ started. 





其 次 ， 把 制作 好 的 RAID 磁 盘 阵 列 格式 化 为 ext4 格 式 。 





[root@linuxprobe ~]# mkfs.ext4 /dev/mdO 
mke2fs 1.42.9 (28-Dec-2013) 

Filesystem label= 

OS type: Linux 

Block size=4096 (log=2) 

Fragment size-4096 (log=2) 

Stride-128 blocks, Stripe width=256 blocks 
2621440 inodes, 10477312 blocks 

523865 blocks (5.00%) reserved for the super user 
First data block=0 

Maximum filesystem blocks=2157969408 


320 block groups 

32768 blocks per group, 32768 fragments per group 

8192 inodes per group 

Superblock backups stored on blocks: 

32768, 98304, 163840, 229376, 294912, 819200, 884736, 1 
605632, 2654208, 

4096000, 7962624 

Allocating group tables: done 

Writing inode tables: done 

Creating journal (32768 blocks): done 

Writing superblocks and filesystem accounting informati 
on: done 








再 次 ， 创 建 挂 载 点 然后 把 硬盘 设备 进行 挂 载 操作 。 挂 载 成 
功 后 可 看 到 可 用 空间 为 40GB。 





/dev/md0 40G 49M 38G 1% /RAID 


最 后 ， 碍 看 /devmd0 磁 盘 阵 列 的 详细 信息 ， 并 把 挂 载 信 息 
写 入 到 配置 文件 中 ， 使 其 永久 生效 。 





[root@linuxprobe ~]# mdadm -D /dev/md0O 
/dev/mde: 

Version : 1.2 

Creation Time : Tue May 5 07:43:26 2017 
Raid Level : raid1@ 

Array Size : 41909248 (39.97 GiB 42.92 GB) 
Used Dev Size : 20954624 (19.98 GiB 21.46 GB) 
Raid Devices : 4 

Total Devices : 4 

Persistence : Superblock is persistent 
Update Time : Tue May 5 07:46:59 2017 


State : clean 

Active Devices : 4 

Working Devices : 4 

Failed Devices : @ 

Spare Devices : @ 

Layout : near=2 

Chunk Size : 512K 

Name : localhost.localdomain:@ (local to host localhost 
. localdomain) 

UUID : cc9a87d4:1e89e175 : 5383e1e8:a78ec62c 

Events : 17 

Number Major Minor RaidDevice State 

© 8 16 @ active sync /dev/sdb 

18 32 1 active sync /dev/sdc 

2 8 48 2 active sync /dev/sdd 

3 8 64 3 active sync /dev/sde 

[rootglinuxprobe ~]# echo "/dev/md@ /RAID ext4 defaults 
0 0" >> /etc/fstab 





7.4.6 ”损坏 磁盘 阵列 及 修复 


之 所 以 在 生产 环境 中 部 署 RAID 10 磁 盘 阵列 ， 是 为 了 提高 
硬盘 存储 设备 的 读 写 速度 及 数据 的 安全 性 ， 但 由 于 我 们 
设备 是 在 虚拟 机 中 模拟 出 来 的 ， 因 此 对 读 写 速度 的 改善 可 能 
MAI, Dx iade dM 下 RAID 磁 盘 阵 
列 损坏 后 的 处 理 方 法 ， 这 样 大 家 在 步 入 运 维 岗 位 后 遇 到 类 似 问 
题 时 ， 也 可 以 轻松 解决 。 



































在 确认 有 一 ee 损坏 而 不 能 继续 正常 使 用 
后 ， 应 该 使 用 mdadm 命 令 将 其 移 除 ， 然 后 得 看 RAID 磁 盘 阵 列 


的 状态 ， 可 以 发 现状 态 已 经 改变 。 


[root@linuxprobe ~]# mdadm /dev/md@ -f /dev/sdb 
mdadm: set /dev/sdb faulty in /dev/mdO 
[root@linuxprobe ~]# mdadm -D /dev/md0O 

/ dev/md0: 

Version : 1.2 

Creation Time : Fri May 8 08:11:00 2017 

Raid Level : raid10 

Array Size : 41909248 (39.97 GiB 42.92 GB) 

Used Dev Size : 20954624 (19.98 GiB 21.46 GB) 
Raid Devices : 4 

Total Devices : 4 

Persistence : Superblock is persistent 

Update Time : Fri May 8 08:27:18 2017 

State : clean, degraded 

Active Devices : 3 

Working Devices : 3 

Failed Devices : 1 

Spare Devices : 0 

Layout : near=2 

Chunk Size : 512K 

Name : linuxprobe.com:0 (local to host linuxprobe.com) 
UUID : f2993bbd:99c1eb63:bd61d4d4: 3f06c3b0 
Events : 21 

Number Major Minor RaidDevice State 

© © 0 @ removed 

1 8 32 1 active sync /dev/sdc 

2 8 48 2 active sync /dev/sdd 

3 8 64 3 active sync /dev/sde 

9 8 16 - faulty / dev/sdb 





在 RAID 10 级 别 的 磁盘 阵列 中 ， 当 RAID 1 破 盘 阵列 中 存在 


一 个 故障 盘 时 并 不 影响 RAID 10 磁 盘 阵 列 的 使 用 。 当 购买 了 新 
的 硬盘 设备 后 再 使 用 mdadm 命 令 来 予以 替换 即 可 ， 在 此 期 间 我 
们 可 以 在 /RAID 目 录 中 正常 地 创建 或 删除 文件 。 由 于 我 们 是 在 
虚拟 机 中 模拟 硬盘 ， 所 以 先 重 启 系统 ， 然 后 再 把 新 的 硬盘 添加 
BRAID HAE [FE iJ rp o 








[rootglinuxprobe ~]# umount /RAID 
[root@linuxprobe ~]# mdadm /dev/mdO -a /dev/sdb 
[root@linuxprobe ~]# mdadm -D /dev/md0O 
/dev/mde: 

Version : 1.2 

Creation Time : Mon Jan 30 00:08:56 2017 

Raid Level : raid10 

Array Size : 41909248 (39.97 GiB 42.92 GB) 
Used Dev Size : 20954624 (19.98 GiB 21.46 GB) 
Raid Devices : 4 

Total Devices : 4 

Persistence : Superblock is persistent 

Update Time : Mon Jan 30 00:19:53 2017 

State : clean 

Active Devices : 4 

Working Devices : 4 

Failed Devices : 0 

Spare Devices : 0 

Layout : near-2 

Chunk Size : 512K 

Name : localhost.localdomain:@ (local to host localhos 
t.localdomain) 

UUID : d3491c05:cfc81ca0:32489f04:716a2cf0 
Events : 56 

Number Major Minor RaidDevice State 

4 8 16 0 active sync /dev/sdb 


32 1 active sync /dev/sdc 
48 2 active sync /dev/sdd 
64 3 active sync /dev/sde 
oot@linuxprobe ~]# mount -a 





7.1.7 ”磁盘 阵列 + 备份 盘 


RAID 10 磁 盘 阵 列 中 最 多 允许 50% 的 硬盘 设备 发 生 故 障 ， 

但 是 存在 这 样 一 种 极端 情况 ， 即 同一 RAID 1 磁盘 阵列 中 的 硬 
盘 设备 知 全 部 损坏 ， 也 会 导致 数据 丢失 。 换 名 话说， 在 RAID 
10 人 磁盘 阵列 中 ， 如 果 RAID 1 中 的 某 一 块 硬盘 出 现 了 故障 ， 而 
我 们 正在 前 往 修 复 的 路 上 ， 人 恰巧 该 RAID1 磁 盘 阵 列 中 的 另 一 块 
硬盘 设备 也 出 现 故 障 ， 那 么 数据 束 被 彻底 丢失 了 。 刘 遗 老 师 可 
真 不 是 乌鸦 嘴 ， 这 种 RAID 1 磁盘 阵列 中 的 硬盘 设备 同时 损坏 
的 情况 还 真 被 我 的 学 生 遇 到 过 。 




















在 这 样 的 情况 下 ， 该 怎么 办 呢 ? 其 实 ， 我 们 完全 可 以 使 用 
RAID 备 份 盘 技术 来 预防 这 类 事故 。 该 扩 术 的 核心 理念 就 是 准 
备 一 块 足够 大 的 硬盘 ， 这 块 硬盘 平时 处 于 闲置 状态 ， 一 旦 
RAID 磁 盘 阵 列 中 有 硬盘 出 现 故 障 后 则 会 马上 上 自动 项 其 上 去 。 
这 样 很 棒 吧 ! 




















为 了 避免 多 个 实验 之 间 相 互 发 后 冲突 ， 我 们 需要 保证 每 个 
实验 的 相对 独立 性 ， 为 此 需要 大 家 目 行将 虚拟 机 还 原 到 初始 状 
态 。 男 外 ， 由 于 刚才 已 经 演示 了 RAID 10M FE BES A JJ 





法 ， 我 们 现在 来 看 一 下 RAID SHI BBE BOR. MARAD 5 磁盘 


阵列 时 ， 人 至少 需 要 用 到 3 块 人 硬盘 


， 还 需要 再 加 一 块 备份 硬盘 ， 


所 以 总 计 和 需要 在 虚拟 机 中 模拟 4 块 硬 盘 设 备 ， 如 图 7-6 所 示 。 
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4 
局 硬盘 (5CSI) 20 GB 
CAE 2 (SCSI) 20 GB 
CAE 3 (SCSI) 20 GB 
CAE 4 (SCSI) 20 GB 
CAE 5 (SCSI) 20 GB 
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© )CD/DVD (SATA) ”正在 使 用 文件 D:\f@fR\RHEL-server-... 











sm)... | | RR) | 


内 存 
gaa 内 存 大 小 必须 为 4 MB 


此 虚拟 机 的 内 存 (M): — 2048 =) MB 


Q 4 


4 B 最 大 建议 内 存 


(超出 此 大 小 可 能 
点 生 内 存 交 换 。) 
6280 MB 


E 建议 内 存 
2048 MB 


口 建议 的 最 小 客户 机 操作 系统 内 存 
1024 MB 


dy 必须 先 关 闭 虚 拟 机 ， 才 能 降低 内 存量 。 


4 mE 768 MB 用 作 图 形 内 存 。 您 可 以 
在 显示 器 "设置 页 面 中 更 改 此 数量 。 














(we) (mw) (ae 


图 7-6 ”在 虚拟 机 中 模拟 添加 4 块 硬 盘 设 备 


现在 创建 一 个 RAID 58535 [Vg 7) 250) E a. 
中 ， 参 数 -n 3 代表 创建 这 个 RAID 5 磁盘 阵列 所 需 的 硬盘 数 ， 


数 -1 5 代表 RAID 的 级 别 ， 而 参数 -xx1 则 代表 有 一 块 备 份 盘 。 当 
查看 /devmd0 CBIRAID 5 役 盘 阵列 的 名 称 ) Bd ME SI ER] EST Pe 39 
能 看 到 有 一 块 备 份 盘 在 等 竺 中 了 。 





[root@linuxprobe ~]# mdadm -Cv /dev/md@ -n 3 -1 5 -x 1 
/dev/sdb /dev/sdc /dev/ 

sdd /dev/sde 

mdadm: layout defaults to left-symmetric 
mdadm: layout defaults to left-symmetric 
mdadm: chunk size defaults to 512K 

mdadm: size set to 20954624K 

mdadm: Defaulting to version 1.2 metadata 
mdadm: array /dev/md@ started. 
[root@linuxprobe ~]# mdadm -D /dev/mde 
/dev/mde: 

Version : 1.2 

Creation Time : Fri May 8 09:20:35 2017 

Raid Level : raid5 

Array Size : 41909248 (39.97 GiB 42.92 GB) 
Used Dev Size : 20954624 (19.98 GiB 21.46 GB) 
Raid Devices : 3 

Total Devices : 4 

Persistence : Superblock is persistent 

Update Time : Fri May 8 09:22:22 2017 

State : clean 

Active Devices : 3 

Working Devices : 4 

Failed Devices : 0 

Spare Devices : 1 

Layout : left-symmetric 

Chunk Size : 512K 

Name : linuxprobe.com:@ (local to host linuxprobe.com) 
UUID : 44b1a152:3f1809d3:1d234916:4ac70481 


Events : 18 
Number Major Minor RaidDevice State 


o 8 16 9 active Sync /dev/sdb 
1 8 32 1 active sync /dev/sdc 
4 8 48 2 active sync /dev/sdd 
3 8 64 - spare /dev/sde 





现在 将 部 署 好 的 RAID 5 磁盘 阵列 格式 化 为 ext4 文 件 格式 ， 
然后 挂 载 到 目录 上 ， 之 后 就 可 以 使 用 了 。 





[root@linuxprobe ~]# mkfs.ext4 /dev/mdO 

mke2fs 1.42.9 (28-Dec-2013) 

Filesystem label= 

OS type: Linux 

Block size=4096 (log=2) 

Fragment size-4096 (log=2) 

Stride-128 blocks, Stripe width=256 blocks 

2621440 inodes, 10477312 blocks 

523865 blocks (5.00%) reserved for the super user 

First data block=0 

Maximum filesystem blocks=2157969408 

320 block groups 

32768 blocks per group, 32768 fragments per group 

8192 inodes per group 

Superblock backups stored on blocks: 

32768, 98304, 163840, 229376, 294912, 819200, 884736, 1 
605632, 2654208, 

4096000, 7962624 

Allocating group tables: done 

Writing inode tables: done 

Creating journal (32768 blocks): done 

Writing superblocks and filesystem accounting informati 
on: done 

[root@linuxprobe ~]# echo "/dev/md@ /RAID ext4 defaults 


© 0" >> /etc/fstab 
[rootglinuxprobe ~]# mkdir /RAID 
[root@linuxprobe ~]# mount -a 








最 后 是 见证 奇迹 的 时 刻 ! 我 们 再 次 把 硬盘 设备 /dev/sdb 移 
出 磁盘 阵列 ， 然 后 迅速 查看 /devmd0 磁 盘 阵 列 的 状态 ， 就 会 发 
现 备份 盘 已 经 被 目 动 项 车 上 去 并 开始 了 数据 同步 。RAID 中 的 
这 种 备份 盘 技 术 非 常 实用 ， 可 以 在 保证 RAID 磁 盘 阵 列 数据 安 
全 性 的 基础 上 进一步 提高 数据 可 靠 性 ， 所 以 ， 如 果 公 司 不 兰 钱 
的 话 还 是 再 买 上 一 块 备份 盘 以 防 万 一 。 




















[root@linuxprobe ~]# mdadm /dev/md@ -f /dev/sdb 
mdadm: set /dev/sdb faulty in /dev/md0O 
[rootglinuxprobe ~]# mdadm -D /dev/md0O 
/dev/mde: 

Version : 1.2 

Creation Time : Fri May 8 09:20:35 2017 

Raid Level : raid5 

Array Size : 41909248 (39.97 GiB 42.92 GB) 
Used Dev Size : 20954624 (19.98 GiB 21.46 GB) 
Raid Devices : 3 

Total Devices : 4 

Persistence : Superblock is persistent 

Update Time : Fri May 8 09:23:51 2017 

State : active, degraded, recovering 

Active Devices : 2 

Working Devices : 3 

Failed Devices : 1 

Spare Devices : 1 

Layout : left-symmetric 

Chunk Size : 512K 


Rebuild Status : 0% complete 
Name : linuxprobe.com:@ (local to host linuxprobe.com) 
UUID : 44b1a152:3f1809d3:1d234916:4ac70481 


Events : 21 

Number Major Minor RaidDevice State 
3 8 64 9 spare rebuilding /dev/sde 
1 8 32 1 active sync /dev/sdc 
4 8 48 2 active sync /dev/sdd 
o 8 16 - faulty /dev/sdb 





7. LVM > oe) 


前 面 学 习 的 硬盘 设备 管理 技术 虽然 能 够 有 效 地 提高 硬盘 设 
备 的 读 写 速度 以 及 数据 的 安全 性 ， 但 是 在 硬盘 分 好 区 或 者 部 署 
为 RAID 磁 一阵 列 之 后 ， 再 想 修 改 便 盘 分 区 大 小 嗣 不 容易 了 。 
换 句 话说 ， 当 用 户 想 要 随 独 实际 需求 的 变化 调整 硬盘 分 区 的 大 
小 时 ， 会 受到 硬盘 “灵活 性 ?的 限制 。 这 时 就 需要 用 到 另外 一 项 
非常 普 及 的 硬盘 设备 资源 管理 技术 了 一 -LVM (逻辑 卷 管理 
at) 。LVM 可 以 允许 用 户 对 硬盘 资源 进行 动态 调整 。 




















多 辑 卷 管理 堪 是 Linux 系 统 用 于 对 硬盘 分 区 进行 管理 的 一 
种 机 制 ， 理 论 性 较 强 ， 其 创建 初 训 是 为 了 解决 硬盘 设备 在 创建 
分 区 后 不 易 修 改 分 区 大 小 的 缺陷 。 尽 管 对 传统 的 硬盘 分 区 进行 
强制 扩容 或 缩 容 从 理论 上 来 讲 是 可 行 的 ， 但 是 却 可 能 造成 数据 
的 丢失 。 而 LVM 技 术 是 在 硬盘 分 区 和 文件 系统 之 间 添 加 了 一 
个 逻辑 层 ， 它 提供 了 一 个 抽象 的 卷 组 ， 可 以 把 多 块 硬盘 进行 卷 
组 合并 。 这 样 一 来 ， 用 户 不 必 关 心 物理 硬盘 设备 的 低层 架构 和 
布局 ， 就 可 以 实现 对 人 硬盘 分 区 的 动态 调整 。LVM 的 技术 架构 
如 图 7-7 所 示 。 








VG W) 


PV (物理 卷 ) PV “物理 卷 ) 
ud Bas PE  --— iud [d PE = | B33 gd -- 9 
EE 


图 7-7 逻辑 卷 管理 器 的 技术 结构 





为 了 帮助 大 家 理解 ， 刘 诅 老 师 来 举 一 个 吃 货 的 例子 。 比 如 
小 明 家 里 想 吃 馒头 但 是 面粉 不 够 了 了， 于 是 妈妈 从 隔壁 老 王 家 、 
老 李 家 、 老 张 家 分 别 借 来 一 些 面 粉 ， 准 备 蒸 馒头 吃 。 首 先 需 要 
把 这 些 面粉 〈 物 理 卷 [PV，Physical Volume 揉 成 一 个 大 面团 
(432H[VG, Volume Group ， 然 后 再 把 这 个 大 团 面 分 割 成 
—^A MB GESRAS[LV, Logical Volume]) ， 而 且 每 个 小 
馒头 的 重量 必须 是 每 勺 面粉 〈 基 本 单元 [PE，Physical Extent] ) 
的 倍数 。 




















物理 卷 处 于 LVM 中 的 最 底层 ， 可 以 将 其 理解 为 物理 硬 
盘 、 人 硬盘 分 区 或 者 RAID 磁 盘 阵 列 ， 这 都 可 以 。 卷 组 建立 在 物 
理 卷 之 上 ， 一 个 卷 组 可 以 包含 多 个 物理 卷 ， 而 且 在 卷 组 创建 之 
后 也 可 以 继续 向 其 中 添加 新 的 物理 卷 。 逻 辑 卷 是 用 卷 组 中 空闲 
的 资源 建立 的 ， 并 且 逻 辑 眷 在 建立 后 可 以 动态 地 扩展 或 缩小 空 
间 。 这 就 是 LVM 的 核心 理念 。 




















7.2.1 ŠE E Fe 


一 般 而 言 ， 在 生产 环境 中 无 法 精确 地 评估 每 个 硬盘 分 区 在 
日 后 的 使 用 情况 ， 因 此 会 导致 原先 分 配 的 硬盘 分 区 不 够 用 。 比 
如 ， 伴 随 痢 业务 量 的 增加 ， 用 于 存放 交易 记录 的 数据 库 目 录 的 
E A a el a 
录 的 体积 不 断 变 大 ， 这 些 都 会 导致 原 有 的 硬盘 分 区 在 使 用 上 近 
衬 见 肘 。 而 且 ， 还 存在 对 较 大 的 硬盘 分 区 进行 精简 缩 容 的 情 
况 。 





























我 们 可 以 通过 部 署 LYM 来 解决 上 述 问 题 。 部 团 LVM 时 ， 
需要 逐个 配置 物理 卷 、 卷 组 和 这 辑 卷 。 各 用 的 部 署 命 令 如 表 7- 
2 所 示 。 


常用 的 LVM 部 署 命 


mu JE T i T 

















pvdisplay vgdisplay lvdisplay 


删除 pvremove vgremove lvremove 





€ mm 


为 了 避免 多 个 实验 之 间 相 互 发 生 冲 突 ， 请 大 家 上 自行 将 虚拟 











机 还 原 到 初始 状态 ， 并 在 虚拟 机 中 添加 两 块 新 硬盘 设备， 然后 
开机 ， 如 图 7-8 所 示 。 





在 虚拟 机 中 添加 两 块 新 硬盘 设备 的 目的 ， 是 为 了 更 好 地 演 
示 LVM 理 念 中 用 户 无 需 关 心底 层 物理 硬盘 设备 的 特性 。 我 们 
先 对 这 两 块 新 硬盘 进行 创建 物理 卷 的 操作 ， 可 以 将 该 操作 简单 
理解 成 让 硬盘 设备 文 持 LVM 技 术 ， 或 者 理解 成 是 把 硬盘 设备 
加 入 到 LVM 技 术 可 用 的 硬件 资源 池 中 ， 然 后 对 这 两 块 人 硬盘 进 
行 郑 组 合并 ， 卷 组 的 名 称 可 以 由 用 户 来 和 目 定 义 。 接 下 来 ， 根 据 
需求 把 合并 后 的 卷 组 切割 出 一 个 约 为 150MB 的 饮 辑 卷 设 备 ， 节 
后 把 这 个 逻辑 卷 设备 格式 化 成 EXT4 文 件 系 统 后 挂 载 使 用 。 在 
下 文中 ， 刘 遗 老师 将 对 每 一 个 步骤 再 作 一 些 简单 的 描述 。 





第 1 步 : 让 新 添加 的 两 块 硬盘 设备 文 持 LVM 技 术 。 


[root@linuxprobe ~]# pvcreate /dev/sdb /dev/sdc 
Physical volume "/dev/sdb" successfully created 


Physical volume "/dev/sdc" successfully created 


EURE (X= | 
硬件 “| 选项 








内 存 
SE i 内 存 大 小 必须 为 4 MB 


(5 #82 (SCSI) 
EA EA (SCSI) 
A RA (SCSI) 20 GB — 
“J CD/DVD (SATA) 正在 使 用 文件 FISO images\RHEL-s... 
TPES RENEE a 7 
Sats 自动 检测 seg 日 最 人 建议 由 
4GB (超出 此 大 小 可 能 
m 发 生 内 存 交换 。) 
6336 MB 
512 MB 
256 MB 
128 MB 
64 MB 
32 MB 
16 MB 
8 MB 
4MB 


此 虚拟 机 的 内 存 (M): 2048 >| MB 


EE 建议 内 存 
2048 MB 


建议 的 最 小 客户 机 操作 系统 内 存 
1024 MB 


3) 虚拟 机 最 多 将 此 内 存 的 768 MB 用 作 图 形 内 存 。 您 可 以 
在 显示 器 设置 页 面 中 更 改 此 数量 。 
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图 7-8 ”在 虚拟 机 中 添加 两 块 新 的 硬盘 设备 


第 2 步 : 把 两 块 便 盘 设 备 加 入 到 storage 卷 组 中 ， 然 后 但 看 
卷 组 的 状态 。 





[root@linuxprobe ~]# vgcreate storage /dev/sdb /dev/sdc 
Volume group "storage" successfully created 


[root@linuxprobe ~]# vgdisplay 
--- Volume group --- 

VG Name storage 

System ID 

Format lvm2 

Metadata Areas 2 

Metadata Sequence No 1 

VG Access read/write 

VG Status resizable 

MAX LV @ 

Cur LV 6 

Open LV 0 

Max PV @ 

Cur PV 2 

Act PV 2 

VG Size 39.99 GiB 

PE Size 4.00 MiB 

Total PE 10238 

Alloc PE / Size @ / © Free PE / Size 10238 / 39.99 GiB 


VG UUID KUeAMF-qMLh-XjQy -ArUo-LCQI-YF00-pScxm1 
eee 省 略 部 分 输出 信息 .ee 





第 3 步 : 切割 出 一 个 约 为 150MB 的 逻辑 卷 设备 。 





这 里 需要 注意 切割 单位 的 问题 。 在 对 逻辑 卷 进行 切割 时 有 
两 种 计量 单位 。 第 一 种 是 以 容量 为 单位 ， 所 使 用 的 参数 为 -L。 
例如 ， 使 用 -L 150M 生 成 一 个 大 小 为 150MB 的 逻辑 卷 。 男 外 一 
种 是 以 基本 单元 的 个 数 为 单位 ， 所 使 用 的 参数 为 -|。 每 个 基本 
单元 的 大 小 默认 为 4MB。 例 如 ， 使 用 -137 可 以 生成 一 个 大 小 为 
37x4MB=148MB 的 逻辑 卷 。 








[root@linuxprobe ~]# lvcreate -n vo -1 37 storage 
Logical volume "vo" created 

[root@linuxprobe ~]# lvdisplay 

--- Logical volume --- 

LV Path /dev/storage/vo 

LV Name vo 

VG Name storage 

LV UUID D@9HYI-BHB1-iXGr -X2n4-HEZo-FAQH-HRcM2I 
LV Write Access read/write 

LV Creation host, time localhost.localdomain, 2017-02- 
01 01:22:54 -0500 

LV Status available 

# open @ 

LV Size 148.00 MiB 

Current LE 37 

Segments 1 

Allocation inherit 

Read ahead sectors auto 

- currently set to 8192 

Block device 253:2 

省 略 部 分 输出 信息 





第 4 步 : 把 生成 好 的 逻辑 卷 进行 格式 化 ， 然 后 挂 载 使 用 。 


Linux 系 统 会 把 LVM 中 的 逻辑 卷 设备 存放 在 /dev 设 备 日 录 
中 《实际 上 是 做 了 一 个 符号 链接 ) ， 同 时 会 以 卷 组 的 名 称 来 建 
立 一 个 目录 ， 其 中 保存 了 逻辑 卷 的 设备 映射 文件 〈 即 /dev/ 卷 组 
名 称 /逻辑 卷 名 称 ) o 

















[root@linuxprobe ~]# mkfs.ext4 /dev/storage/vo 
mke2fs 1.42.9 (28-Dec-2013) 
Filesystem label= 


OS type: Linux 
Block size-1024 (log=@) 
Fragment size-1024 (log=0) 
Stride-0 blocks, Stripe width=6 blocks 
38000 inodes, 151552 blocks 
7577 blocks (5.00%) reserved for the super user 
First data block=1 
Maximum filesystem blocks=33816576 
19 block groups 
8192 blocks per group, 8192 fragments per group 
2000 inodes per group 
Superblock backups stored on blocks: 
8193, 24577, 40961, 57345, 73729 
Allocating group tables: done 
Writing inode tables: done 
Creating journal (4096 blocks): done 
Writing superblocks and filesystem accounting informati 
on: done 
[root@linuxprobe ~]# mkdir /linuxprobe 
[root@linuxprobe ~]# mount /dev/storage/vo /linuxprobe 





第 5 步 : 查看 挂 载 状态 ， 并 写 入 到 配置 文件 ， 使 其 永久 生 





[root@linuxprobe ~]# df -h 

Filesystem Size Used Avail Use% Mounted on 
/dev/mapper/rhel-root 18G 3.0G 15G 17% / 

devtmpfs 905M © 905M 05 /dev 

tmpfs 914M 140K 914M 1% /dev/shm 

tmpfs 914M 8.8M 905M 1% /run 

tmpfs 914M @ 914M 0% /sys/fs/cgroup 

/dev/sre 3.5G 3.5G 0 100% /media/cdrom 

/dev/sda1 497M 119M 379M 24% /boot 
/dev/mapper/storage-vo 145M 7.6M 138M 6% /linuxprobe 


[root@linuxprobe ~]# echo "/dev/storage/vo /linuxprobe 
ext4 defaults 6 0" >> / 
etc/fstab 





7.2.2 扩容 逻辑 着 











在 前 面 的 实验 中 ， 苍 组 是 由 两 块 硬 盘 设 备 共同 组 成 的 。 用 
户 在 使 用 存储 设备 时 感知 不 到 设备 的 层 的 架构 和 布局 ， 更 不 用 
天 心底 层 是 由 多 少 块 便 盘 组 成 的 ， 只 要 卷 组 中 有 足够 的 资源 ， 
束 可 以 一 直 为 逻辑 天 扩容 。 扩 展 前 请 一 定 要 记得 释 载 设备 和 挂 
载 点 的 关联 。 


[root@linuxprobe ~]# umount /linuxprobe 


第 1 步 : 把 上 一 个 实验 中 的 逻辑 卷 vo 扩 展 至 290MB。 











[root@linuxprobe ~]# lvextend -L 290M /dev/storage/vo 
Rounding size to boundary between physical extents: 29 
2.00 MiB 


Extending logical volume vo to 292.00 MiB 
Logical volume vo successfully resized 











第 2 步 : 检查 便 盘 完整 性 ， 并 重 置 硬 盘 容 量 。 





[root@linuxprobe ~]# e2fsck -f /dev/storage/vo 
e2fsck 1.42.9 (28-Dec-2013) 

Pass 1: Checking inodes, blocks, and sizes 
Pass 2: Checking directory structure 

Pass 3: Checking directory connectivity 


Pass 4: Checking reference counts 

Pass 5: Checking group summary information 
/dev/storage/vo: 11/38000 files (0.0% non-contiguous), 
10453/151552 blocks 

[root@linuxprobe ~]# resize2fs /dev/storage/vo 
resize2fs 1.42.9 (28-Dec-2013) 

Resizing the filesystem on /dev/storage/vo to 299008 (1 
k) blocks. 

The filesystem on /dev/storage/vo is now 299008 blocks 
long. 








第 3 步 : 重新 挂 载 硬 盘 设备 并 查看 挂 载 状态 。 


[root@linuxprobe ~]# mount -a 
[root@linuxprobe ~]# df -h 
Filesystem Size 
se% Mounted on 
/dev/mapper/rhel-root 18G 
17% / 
devtmpfs 985M 
0% /dev 
tmpfs 994M 
1% /dev/shm 
tmpfs 
1% /run 
tmpfs 
0% /sys/fs/cgroup 
/dev/sr@ 
0075 /media/cdrom 
/ dev/sda1 
24% /boot 
/ dev/mapper/storage-vo 
1% /linuxprobe 





7.2.3 缩小 逻辑 着 


相 较 于 扩容 逻辑 卷 ， 在 对 逻辑 卷 进行 缩 容 操作 时 ， 其 丢失 
数据 的 风险 更 大 。 所 以 在 生产 环境 中 执行 相应 操作 时 ， 一 定 要 
提前 备份 好 数据 。 另 外 Linux 系 统 规定 ， 在 对 LVM 逮 辑 卷 进行 
缩 容 操作 之 前 ， 要 先 检 查 文 件 系 统 的 完整 性 〈 当 然 这 也 是 为 了 
保证 我 们 的 数据 安全 ) 。 在 执行 缩 容 操作 前 记得 先 把 文件 系统 
DIESEL 


[rootglinuxprobe ~]# umount /linuxprobe 


第 1 步 : 检查 文件 系统 的 完整 性 。 











[root@linuxprobe ~]# e2fsck -f /dev/storage/vo 
e2fsck 1.42.9 (28-Dec-2013) 

Pass 1: Checking inodes, blocks, and sizes 
Pass 2: Checking directory structure 


Pass 3: Checking directory connectivity 

Pass 4: Checking reference counts 

Pass 5: Checking group summary information 
/dev/storage/vo: 11/74000 files (0.0% non-contiguous), 
15507/299008 blocks 





第 2 步 : 把 逻辑 卷 vo 的 容量 减 小 到 120MB。 





[root@linuxprobe ~]# resize2fs /dev/storage/vo 120M 
resize2fs 1.42.9 (28-Dec-2013) 

Resizing the filesystem on /dev/storage/vo to 122880 (1 
k) blocks. 


The filesystem on /dev/storage/vo is now 122880 blocks 


long. 


[rootglinuxprobe ~]# lvreduce -L 120M /dev/storage/vo 
WARNING: Reducing active logical volume to 120.00 MiB 


THIS MAY DESTROY YOUR DATA (filesystem etc.) 
Do you really want to reduce vo? [y/n]: y 
Reducing logical volume vo to 120.00 MiB 


Logical volume vo successfully resized 





第 3 步 : 重新 挂 载 文件 系统 并 得 看 系统 状态 。 


[root@linuxprobe ~]# mount -a 
[root@linuxprobe ~]# df -h 
Filesystem Size Used 
on 

/dev/mapper/rhel-root 18G 

devtmpfs 985M 

tmpfs 994M 

m 

tmpfs 994M 

tmpfs 994M 

/ cgroup 

/dev/sre 3.5G 3.5G 
cdrom 

/ dev/sda1 497M 119M 

/dev/mapper/storage-vo 113M 1.6M 
robe 


7.2.4 逻辑 卷 快 照 


Avail 


15G 
985M 
994M 


986M 
994M 


Mounted 


/ 
/dev 
/dev/sh 


/run 
/sys/fs 


/media/ 


/boot 
/linuxp 





LVM 还 具备 有 “快照 卷 " 功 能， 该 功能 类 似 于 虚拟 机 软件 的 
还 原 时 间 点 功能 。 例 如 ， 可 以 对 茶 一 个 逻辑 卷 设备 做 一 次 快 


RR. WR HERMA Y. Gn] DAA AZ BBE ERR 
ABET T S a. LVM as DJ BE ANRE: 











。 快照 卷 的 容量 必须 等 同 于 逻辑 卷 的 容量 ; 
。 快照 卷 仅 一 次 有 效 ， 一 旦 执行 还 原 操作 后 则 会 被 立即 目 动 











首先 查看 卷 组 的 信息 。 











[ root@linuxprobe ~ ]# vgdisplay 
--- Volume group --- 

VG Name storage 

System ID 

Format lvm2 

Metadata Areas 2 

Metadata Sequence No 4 

VG Access read/write 

VG Status resizable 

MAX LV @ 

Cur LV 1 

Open LV 1 

Max PV @ 

Cur PV 2 

Act PV 2 

VG Size 39.99 GiB 

PE Size 4.00 MiB 

Total PE 10238 

Alloc PE / Size 30 / 120.00 MiB Free PE / Size 10208 / 
39.88 GiB 

VG UUID CTaHAK -OTQv - Abdb -R830-RU6V -YYkx-802R0e 

省 略 部 分 输出 信 轧 .…ee。 








过 卷 组 的 输出 信息 可 以 清晰 看 到 ， 卷 组 中 已 经 使 用 了 
120MB 空闲 容量 还 有 39.88GB 。 接 下 来 用 重 定向 往 逻 
辑 卷 设备 所 挂 载 的 目录 中 写 入 一 个 文件 。 














[root@linuxprobe ~]# echo "Welcome to Linuxprobe.com" > 
/linuxprobe/readme.txt 
[root@linuxprobe ~]# ls - /linuxprobe 


total 14 
. 2 root root 12288 Feb 1 07:18 lost+found 
-rw-r--r--. 1 root root 26 Feb 1 07:38 readme.txt 





第 1 步 : EH-HE- TUS. fEHI-LASHRIEU) 
割 的 大 小 。 另 外 ， 还 需要 在 命令 后 面 写 上 是 针对 哪个 逻辑 卷 执 
行 的 快照 操作 。 











[root@linuxprobe ~]# lvcreate -L 120M -s -n SNAP /dev/ 
storage/vo 
Logical volume "SNAP" created 
[rootglinuxprobe ~]# lvdisplay 
--- Logical volume --- 
LV Path /dev/storage/SNAP 
LV Name SNAP 


VG Name storage 

LV UUID BC7WKg- fHoK-Pc7J-yhSd-vD7d-lUnl-TihkKlt 

LV Write Access read/write 

LV Creation host, time localhost.localdomain, 2017-02- 
01 07:42:31 -0500 

LV snapshot status active destination for vo 

LV Status available 

# open @ 

LV Size 120.00 MiB 


Current LE 30 

COW-table size 120.00 MiB 
COW-table LE 30 

Allocated to snapshot 0.01% 
Snapshot chunk size 4.00 KiB 
Segments 1 

Allocation inherit 

Read ahead sectors auto 

- currently set to 8192 
Block device 253:3 
NNUS 省 略 部 分 输出 信息 





第 2 步 : 在 远 辑 卷 所 挂 载 的 目录 中 创建 一 个 100MB 的 垃圾 
文件 ， 然 后 再 查看 快照 卷 的 状态 。 可 以 发 现存 储 空 间 占 的 用 量 
FT Is 





[root@linuxprobe ~]# dd if=/dev/zero of=/linuxprobe/fil 
es count-1 bs-100M 
1+0 records in 
1+0 records out 
104857600 bytes (105 MB) copied, 3.35432 s, 31.3 MB/s 
[rootglinuxprobe ~]# lvdisplay 

--- Logical volume --- 

LV Path /dev/storage/SNAP 

LV Name SNAP 

VG Name storage 

LV UUID BC7WKg- fHoK-Pc7J-yhSd-vD7d-lUnl-TihKlt 

LV Write Access read/write 

LV Creation host, time localhost.localdomain, 2017-02- 
01 07:42:31 -0500 

LV snapshot status active destination for vo 

LV Status available 

# open @ 


LV Size 120.00 MiB 

Current LE 30 

COW-table size 120.00 MiB 
COW-table LE 30 

Allocated to snapshot 83.71% 
Snapshot chunk size 4.00 KiB 
Segments 1 

Allocation inherit 

Read ahead sectors auto 

- currently set to 8192 
Block device 253:3 








第 3 步 ， 为 了 校 验 SNAP 快 照 卷 的 效果 ， 需 要 对 逻辑 卷 进行 
快照 还 原 操作 。 在 此 之 前 记得 先 印 载 掉 逻 辑 卷 设 备 与 目录 的 挂 
Ro 





[root@linuxprobe ~]# umount /linuxprobe 
[root@linuxprobe ~]# lvconvert --merge /dev/storage/SNA 
P 

Merging of volume SNAP started. 


vo: Merged: 21.4% 

vo: Merged: 100.0% 

Merge of snapshot into logical volume vo has finished. 
Logical volume "SNAP" successfully removed 








第 4 步 : TRU ASEEBSMERTS. Jf LA Cee EAS Wt f 
被 执行 快照 操作 后 再 创建 出 来 的 100MB 的 二 圾 文件 也 被 清除 
To 


[root@linuxprobe ~]# mount -a 
[root@linuxprobe ~]# ls /linuxprobe/ 


lost+found readme.txt 
7.2.5 删除 逻辑 益 


当 生 产 环 境 中 想 要 重新 部 署 LVM 或 者 不 再 需要 使 用 LVM 
el 
要 的 数据 信息 ， 然 后 依次 删除 逻辑 卷 、 郑 组、 物理 卷 设备 ， 
AS LE AS AY SSA 














第 1 步 : 取消 和 馆 辑 卷 与 目录 的 挂 载 关 联 ， 删 除 配置 文件 中 
永久 生效 的 设备 参数 。 


[root@linuxprobe ~]# umount /linuxprobe 
[root@linuxprobe ~]# vim /etc/fstab 

# 

# /etc/fstab 

# Created by anaconda on Fri Feb 19 22:08:59 2017 

# 

# Accessible filesystems, by reference, are maintained 
under '/dev/disk' 

# See man pages fstab(5), findfs(8), mount(8) and/or bl 
kid(8) for more info 

# 

/dev/mapper/rhel-root / 

xfs defaults 11 
UUID-50591e35-d47a-4aeb-a0ca-1b4e8336d9b1 /boot 

xfs defaults 12 

/ dev/mapper /rhel-swap 
swap swap defaults 0 @ 

/ dev/cdrom /media/cdrom 
iso9660 defaults © 0 





第 2 步 : MRE Ba, mmay RANER E. 


[root@linuxprobe ~]# lvremove /dev/storage/vo 
Do you really want to remove active logical volume vo? 


[y/n]: y 


Logical volume "vo" successfully removed 








第 3 步 : 删除 郑 组 ， 此 处 只 写 卷 组 名 称 即 可 ， 不 需要 设备 
的 绝对 路 径 。 


[root@linuxprobe ~]# vgremove storage 
Volume group "storage" successfully removed 


第 4 步 : 删除 物理 卷 设 备 。 


[root@linuxprobe ~]# pvremove /dev/sdb /dev/sdc 
Labels on physical volume "/dev/sdb" successfully wipe 


d 
Labels on physical volume "/dev/sdc" successfully wiped 





在 上 述 操作 执行 完毕 之 后 ， 再 执行 Ivdisplay、vgdisplay、 
pvdisplay 命 令 来 查看 LVM 的 信息 时 就 不 会 再 看 到 信息 了 《前提 
是 上 述 步 又 的 操作 是 正确 的 ) 。 








复习 题 


1. RAID 技 术 主 要 是 为 了 解决 什么 问题 呢 ? 








答 : RAID 技 术 可 以 解决 存储 设备 的 读 写 速度 问题 及 数据 
的 见 余 备份 问题 。 





2. RAID 0 和 RAID 5 哪个 更 安全 ? 
答 : RAID 0 没有 数据 见 余 功能 ， 因 此 RAID 5 更 安全 。 


3. 假设 使 用 4 块 硬盘 来 部 署 RAID 10 方 案 ， 外 加 一 块 备份 
一 ， 最 多 可 以 允许 几 块 硬盘 同时 损坏 呢 ? 











答 : 最 多 允许 5 块 硬盘 设备 中 的 3 块 设备 同时 损坏 。 














4. 位 于 LVM 最 底层 的 是 物理 卷 还 是 卷 组 ? 











答 : 最 底层 的 是 物理 卷 ， 然 后 在 通过 物理 卷 组 成 卷 组 。 





5. LVM 对 逻辑 卷 的 扩容 和 缩 容 操作 有 何 异 同 点 呢 ? 


A. 扩容 和 纵容 操作 都 需要 移 取 消 和 馆 辑 卷 与 目录 的 挂 载 关 
联 ; 扩容 操作 是 先 扩容 后 检查 文件 系统 完整 性 ， 而 缩 容 操作 为 
了 你 证 数据 的 安全 ， 需 要 先 检 查 文 件 系统 完整 性 再 缩 容 。 





6. LVM 的 快照 卷 能 使 用 几 次 ? 
Z: 只 可 使 用 一 次 ， 而 且 使 用 后 即 自动 删除 。 
7. LVM 的 删除 顺序 是 怎么 样 的 ? 


E: 依次 移 除 饮 辑 卷 、 郑 组 和 物理 卷 。 


8% iptables 5firewalld{y «Jii 





防火 墙 管理 工具 ; 








e iptables; 


e firewalld; 






服务 的 访问 控制 列表 。 








保障 数据 的 安全 性 是 继 保 障 数据 的 可 用 性 之 后 最 为 重要 的 








一 项 工作 。 防 火场 作为 公 网 与 内 网 之 间 的 保护 屏障 ， 在 保障 数 
据 的 安全 性 方面 起 着 至 关 重 要 的 作用 。 考 虑 到 大 家 还 不 了 解 
RHEL 7 中 新 增 的 firewalld 防 火 墙 与 先前 版 本 中 iptables 防 火 墙 之 
间 的 区 别 ， 刘 道 老师 决定 先帝 领 读者 从 理论 层面 和 实际 层面 
正确 地 认识 在 这 两 蒜 防 火 墙 之 间 的 关系 。 





本 章 将 分 别 使 用 iptables、firewall-cmd、firewall-config 和 
TCP Wrappers 等 防火 墙 俩 略 配 置 服务 来 完成 数 十 个 根据 真实 工 
作 需 求 而 设计 的 防火 场 策略 配置 实验 。 在 学 习 完 这 些 实验 之 
后 ， 各 位 读者 不 仅 可 以 熟练 地 过 滤 请 求 的 流量 ， 还 可 以 基于 服 


























务 程序 的 名 称 对 流量 进行 多 许 和 拒绝 操作 ， 确 保 Linux 系 统 的 
安全 性 万 无 一 失 。 
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众所周知 ， 相 较 于 企业 内 网 ， 外 部 的 公 网 环境 更 加 恶劣 ， 
徘 恶 丛生 。 在 公 网 与 企业 内 网 之 间 充 当 保护 屏障 的 防火 场 〈《 见 
图 8-1) 虽然 有 软件 或 硬件 之 分 ， 但 主要 功能 都 是 依据 集 略 对 
穿越 防火 墙 目 喘 的 流量 进行 过 小 。 防 火 墙 休 略 可 以 基于 流量 的 
源 目 地 址 、 闻 口号 、 协 议 、 应 用 等 信息 来 定制 ， 然 后 防火 增 使 
用 预先 定制 的 集 略 规则 监控 出 入 的 流量 ， 厂 流量 与 某 一 条 策略 
规则 相 匹 配 ， 则 执行 相应 的 处 理 ， 反 之 则 丢弃 。 这 样 一 来 ， 就 
可 以 保证 仅 有 合法 的 流量 在 企业 内 网 和 外 部 公 网 之 间 流 动 了 。 














Internet | 局 域 网 








图 8-1 防火 墙 作 为 公 网 与 内 网 之 间 的 你 护 屏 障 


在 RHEL 7 系统 中 ，firewalld 防 火 墙 取代 了 iptables 防 火 墙 。 
对 于 接触 Linux 系 统 比较 早 或 学 习 过 RHEL 6 系统 的 读者 来 说 ， 
当 他 们 发 现 曾 经 掌握 的 知识 在 RHEL 7 中 不 再 适用 ， 需 要 全 新 
学 习 firewalld 时 ， 难 免 会 有 抵触 心理 。 其 实 ，iptables 与 
firewalld 都 不 是 真正 的 防火 墙 ， 它 们 都 只 是 用 来 定义 防火 墙 集 














上 略 的 防火 墙 管 理工 具 而 已 ， 或 者 说 ， 它 们 只 是 一 种 服务 。 
iptables 服 务 会 把 配置 好 的 防火 墙 策 略 交 由 内 核 层 面 的 netfilter 
网 络 过 滤器 来 处 理 ， 而 firewalld 服 务 则 是 把 配置 好 的 防火 墙 策 
略 交 由 内 核 层 面 的 nftables 包 过 滤 框 架 来 处 理 。 换 句 话说 ， 当 
前 在 Linux 系 统 中 其 实 存在 多 个 防火 墙 管理 工具 ， 旧 在 方便 运 
维 人 员 管 理 Linux 系 统 中 的 防火 寺 策 略 ， 我 们 只 需要 配置 翌 当 
其 中 的 一 个 就 足够 了 。 虽 然 这 些 工具 各 有 优 劣 ， 但 它们 在 防火 
载 集 略 的 配置 思路 上 是 保持 一 致 的 。 大 家 其 至 可 以 不 用 完全 竺 
握 本 章 介 绍 的 内 容 ， 只 要 在 这 多 个 防火 才 管 理工 具 中 任 选 一 亚 
并 将 其 学 透 ， 就 足以 满足 日 钊 的 工作 需求 了 。 
































8.2 iptables 


在 早期 的 Linux 系 统 中 ， 默 认 使 用 的 是 iptables 防 火 墙 管 理 
服务 来 配置 防火 墙 。 尺 管 新 型 的 firewalld 防 火 墙 管理 服务 已 经 
被 投入 使 用 多 年 ， 但 是 大 量 的 企业 在 生产 环境 中 依然 出 于 各 种 
原因 而 继续 使 用 iptables。 考 虑 到 iptables 在 当前 生产 环境 中 还 
具有 珊 强 的 生命 力 ， 以 及 为 了 使 大 家 在 求职 面试 过 程 中 被 问 到 
iptables 的 相关 知识 时 能 胸有成竹 ， 刘 站 老师 党 得 还 是 有 必要 在 
本 书 中 好 好 地 讲解 一 下 这 项 技术 。 更 何况 前 文 也 提 到 ， 各 个 防 
火 才 管 理工 具 的 配置 思路 是 一 致 的 ， 在 掌握 了 iptables 后 再 学 习 
其 他 防火 墙 管理 工具 时 ， 也 有 借鉴 意义 。 























8.2.1 ”策略 与 规则 链 


防火 增 会 从 上 至 下 的 顺序 来 读 取 配置 的 全 略 规则 ， 在 找到 
匹配 项 后 就 立即 结束 匹配 工作 并 去 执行 匹配 项 中 定义 的 行为 
《 即 放 行 或 阻止 ) 。 如 采 在 读 取 完 所 有 的 策略 规则 之 后 没有 匹 
配 项 ， 就 去 执行 默认 的 策略 。 一 般 而 言 ， 防 火 墙 条 略 规则 的 设 
置 有 两 种 : 一 种 是 “ 通 ”《 即 放行 ) ， 一 种 是 “ 墙 ?〈 即 阻止 ) 。 
当 防 火场 的 默认 策略 为 拒绝 时 《〈 堵 ) ， 束 要 设置 允许 规 则 
OD) ， 人 否则 谁 都 进 不 来 ， 如 条 防火 载 的 默认 策略 为 允许 时 ， 
就 要 设置 拒绝 规则 ， 人 否则 谁 都 能 进来 ， 防 火 墙 也 就 失去 了 防范 

















的 作用 。 


iptables 服 务 把 用 于 处 理 或 过 滤 流 量 的 策略 条 目 称 之 为 规 
则 ， 多 条 规则 可 以 组 成 一 个 规则 链 ， 而 规则 链 则 依据 数据 包 处 
理 位 置 的 不 同 进行 分 类 ， 具 体 如 下 : 








。 在 进行 路 由 选择 前 处 理 数据 包 (PREROUTING) ; 
e 处 理 流 入 的 数据 包 CINPUT) ; 

e 处理 流 出 的 数据 包 COUTPUT) ; 

e 处 理 转 发 的 数据 包 CFORWARD) ; 

。 在 进行 路 由 选择 后 处 理 数 据 包 (POSTROUTING . 


一 般 来 次， 从 内 网 癌 外 网 发 送 的 流量 一 般 都 是 可 控 且 民 性 
的 ， 因 此 我 们 使 用 最 多 的 就 是 INPUT 规 则 链 ， 该 规则 链 可 以 增 
大 黑客 人 员 从 外 网 入 侵 内 网 的 难度 。 











比如 在 您 居住 的 社区 内 ， 物 业 管 理 公 司 有 两 条 规定 : AR 

小 丙 小 贩 进 入 社区 ; 各 种 车 辆 在 进入 社区 时 都 要 登记 。 显 而 易 
见 ， 这 两 条 规定 应 该 是 用 于 社区 的 正门 的 (流量 必须 经 过 的 地 
方 )， 而 不 是 每 家 每 望 的 防盗 门 上 。 根 据 前 面 提 到 的 防火 增 策 
略 的 匹配 顺序 ， 可 能 会 存在 多 种 情况 。 比 如 ， 来 访 人 员 是 小 商 
小 贩 ， 则 直接 会 被 物业 公司 的 保安 拒 之 门 外 ， 也 就 无 需 再 对 车 
辆 进行 登记 。 如 果 来 访 人 员 乘 坐 一 辆 汽车 进入 社区 正门 ， 

则 ”* 茶 止 小 商 小 贩 进入 社区 ”的 第 一 条 规则 束 没 有 被 匹配 到 ， 因 
































此 按照 顺序 匹配 第 二 条 策略 ， 即 需要 对 和 车辆 进行 登记 。 如 果 是 
社区 居民 要 进入 正门 ， 则 这 两 条 规定 都 不 会 匹配 到 ， 因 此 会 执 
行 默 认 的 放行 策略 。 





但 是 ， 仅 有 策略 规则 还 不 能 保证 社区 的 安全 ， 保 安 还 应 该 
AJE ue Gee E a Lb an 40 
VF". GEW”, “登记 ”“ 不 理 它 ”。 这 些 动 作对 应 到 iptables 服 
务 的 术语 中 分 aati (人 允许 流量 通过 ) . REJECT GE 
LOG (记录 日 志 信 息 ) DROP (拒绝 流量 通 

。“ 人 允许 流量 通过 * 和 “记录 日 志 信息 ”都 比较 好 理解 ， 这 里 
A 的 是 REJECT 和 DROP 的 不 同 点 。 就 DROP 来 说 ， 
它 是 直接 将 流量 丢弃 而 且 不 啊 应 ; REJECT 则 会 在 拒绝 流量 后 
再 回复 一 条 “您 的 信息 已 经 收 到 ， 但 是 被 扔 挥 了 ”信息 ， 从 而 让 
流量 发 送 方 清晰 地 看 到 数据 被 拒绝 的 响应 信息 。 





























我 们 来 举 一 个 例子 ， 让 各 位 读者 更 直观 地 理解 这 两 个 拒绝 
动作 的 不 同 之 处 。 比 如 有 一 天 您 正在 家 里 看 电视 ， 突 然 听 到 有 
人 痪 门 ， 您 透 过 防盗 门 的 猫眼 一 看 是 推销 商品 的 ， 便 会 在 不 需 
要 的 情况 下 开门 并 拒绝 他 们 (REJECT) 。 但 如 果 您 看 到 的 是 
债主 带 了 十 几 个 小 弟 来 讨债 ， 此 时 不 仅 要 拒绝 开门 ， 还 要 默 不 
作 声 ， 伪 闭 成 自己 不 在 家 的 样子 (DROP) 。 


























当 把 Linux 系 统 中 的 防火 墙 集 略 设 置 为 REJECT 拒 绝 动 作 











后 ， 流 量 发 送 方 会 看 到 端口 不 可 达 的 啊 应 : 


[root@linuxprobe ~]# ping -c 4 192.168.10.10 
PING 192.168.10.10 (192.168.10.10) 56(84) bytes of dat 


a. 
From 192.168.10.10 icmp seq-1 Destination Port Unreach 
able 

From 192.168.10.10 icmp seq=2 Destination Port Unreach 
able 

From 192.168.10.10 icmp_seq=3 Destination Port Unreach 
able 

From 192.168.10.10 icmp seq-4 Destination Port Unreach 
able 

--- 192.168.10.10 ping statistics --- 

4 packets transmitted, @ received, +4 errors, 100% pac 
ket loss, time 3002ms 





而 把 Linux 系 统 中 的 防火 墙 策 略 修 改 成 DROP 拒 绝 动作 后 ， 
流量 发 送 方 会 看 到 响应 超时 的 提醒 。 但 是 流量 发 送 方 无 法 判断 


= 
里 

= 
EB. 


流量 是 被 拒绝 ， 还 是 接收 方 主机 当前 不 在 线 : 

















[root@linuxprobe ~]# ping -c 4 192.168.10.10 
PING 192.168.10.10 (192.168.10.10) 56(84) bytes of data 


--- 192.168.10.10 ping statistics --- 
4 packets transmitted, @ received, 100% packet loss, ti 
me 3000ms 





8.2.2 iptables 中 基本 的 命令 参数 





iptablesze ~KET MEIT tit SMS Ee ER LR, RAK 
量 参 数 ， 学 习 难 度 较 大 。 好 在 对 于 日 常 的 防火 墙 末 略 配 置 来 
讲 ， 大 家 无 需 深 入 了 解 诸如 “四 表 五 链 ” 的 理论 概念 ， 只 需要 党 
握 常 用 的 参数 并 做 到 灵活 搭配 即 可 ， 这 就 是 以 应 对 日 常 工 作 
了 。 














iptables 命 令 可 以 根据 流量 的 源 地 址 、 目 的 地 址 、 传 输 协 
议 、 服 务 类 型 等 信息 进行 匹配 ， 一 旦 匹配 成 功 ，iptables 就 会 根 
据 策略 规则 所 预 设 的 动作 来 处 理 这 些 流量 。 另 外 ， 再 次 提醒 一 
下 ， 防 火 墙 集 略 规则 的 匹配 顺序 是 从 上 至 下 的 ， 因 此 要 把 较为 
严格 、 优 先 级 较 高 的 策略 规则 放 到 前 面 ， 以 免 发 生 错误 。 表 8- 
1 总 结 归 纳 了 常用 的 iptables 命 令 参数 。 再 次 强调 ， 我 们 无 需 死 
记 便 背 这 些 参数 ， 只 需 借 助 下 面 的 实验 来 理解 掌握 即 可 。 


表 8-1 iptables 中 常用 的 参数 以 及 作用 











参数 作用 


清空 规则 链 
查看 规则 链 





-A 在 规则 链 的 末尾 加 入 新 规则 


在 规则 链 的 头 部 加 入 新 规则 

M 删除 某 一 条 规则 

匹配 来 源 地 址 IP/MASK， 加 叹 号 “! 表 示 除 这 个 IP 外 

AIL NMEEMNMNME 
x 


a YITCP. UDP. ICMP 


iptables $ Ja Us WN-LS AEA CA ER DI KRAAN BE : 


' er 
匹配 从 这 块 网 卡 流出 的 数据 





[root@linuxprobe ~]# iptables -L 

Chain INPUT (policy ACCEPT) 

target prot opt source destination 

ACCEPT all -- anywhere anywhere ctstate RELATED, ESTABLI 
SHED 

ACCEPT all -- anywhere anywhere 

INPUT direct all -- anywhere anywhere 

INPUT ZONES SOURCE all -- anywhere anywhere 

INPUT ZONES all -- anywhere anywhere 

ACCEPT icmp -- anywhere anywhere 

REJECT all -- anywhere anywhere reject-with icmp-host-p 
rohibited 

TS ^83 Wer PATS SS FHT LE fe 4 








在 iptables 命 令 后 添加 -FE 参 数 清空 已 有 的 防火 场 规 则 链 : 


[root@linuxprobe ~] # iptables -F 

[root@linuxprobe ~] # iptables -L 

Chain INPUT (policy ACCEPT) 

target prot opt source destination 


Chain FORWARD (policy ACCEPT) 
target prot opt source destination 


Chain OUTPUT (policy ACCEPT) 
target prot opt source destination 


省 略 部 分 输出 信息 .ee 





把 INPUT 规 则 链 的 默认 策略 设置 为 拒绝 : 








[root@linuxprobe ~]# iptables -P INPUT DROP 
[root@linuxprobe ~]# iptables -L 
Chain INPUT (policy DROP) 


target prot opt source destination 


e 省 略 部 分 输出 信息 .ee 





前 文 提 到 ， 防 火 载 策 略 规则 的 设置 有 两 种 : SANUS. TU 
INPUT#E RCE A SKU GEA, Be CERT As RS A AIOE 
上 略 了， 否则 所 有 到 来 的 流量 都 会 被 拒绝 挥 。 男 外 ， 需 要 注意 的 
是 ， 规 则 链 的 默认 拒绝 动作 只 能 是 DROP， 而 不 能 是 
REJECT. 


向 INPUT 链 中 添加 允许 ICMP 流 量 进 入 的 策略 规则 : 








在 日 常 运 维 工 作 中 ， 经 常会 使 用 ping 命 令 来 检查 对 方 主机 
是 否 在 线 ， 而 向 防火 墙 的 INPUT 规 则 链 中 添加 一 条 允许 ICMP 
流量 进入 的 策略 规则 就 默认 允许 了 这 种 ping 命 令 检 测 行为 。 





[root@linuxprobe ~]# iptables -I INPUT -p icmp -j ACCEP 
T 

[root@linuxprobe ~]# ping -c 4 192.168.10.10 

PING 192.168.10.10 (192.168.10.10) 56(84) bytes of data 


64 bytes from 192.168.10.10: icmp seq-1 ttl=64 time-0.1 
56 ms 

64 bytes from 192.168.10.10: icmp seq-2 ttl=64 time-0.1 
17 ms 

64 bytes from 192.168.10.10: icmp seq-3 ttl=64 time=0.0 
99 ms 

64 bytes from 192.168.10.10: icmp seq-4 ttl-64 time=0.0 
90 ms 

--- 192.168.10.10 ping statistics --- 

4 packets transmitted, 4 received, 0% packet loss, time 


2999ms 
rtt min/avg/max/mdev = 0.090/0.115/0.156/0.027 ms 


删除 INPUT 规 则 链 中 刚刚 加 入 的 那 条 集 略 (允许 ICMP 流 
量 ) ， 并 把 默认 集 略 设置 为 允许 : 


[root@linuxprobe ~]# iptables -D INPUT 1 
[root@linuxprobe ~]# iptables -P INPUT ACCEPT 
[root@linuxprobe ~]# iptables -L 


Chain INPUT (policy ACCEPT) 
target prot opt source destination 


省 略 部 分 输出 信息 .ee 








将 INPUT 规 则 链 设 置 为 只 允许 指定 网 段 的 主机 访问 本 机 
的 22 端 口 ， 拒 绝 来 目 其 他 所 有 主机 的 流量 : 


[root@linuxprobe ~]# iptables -I INPUT -s 192.168.10.0/ 
24 -p tcp --dport 22 -j 

ACCEPT 

[root@linuxprobe ~]# iptables -A INPUT -p tcp --dport 2 
2 -j REJECT 

[root@linuxprobe ~]# iptables -L 


Chain INPUT (policy ACCEPT) 

target prot opt source destination 

ACCEPT tcp -- 192.168.10.0/24 anywhere tcp dpt:ssh 
REJECT tcp -- anywhere anywhere tcp dpt:ssh reject-with 
icmp-port-unreachable 


省 略 部 分 输出 信息 .ee 











再 次 重申 ， 防 火 增 策略 规则 是 按照 从 上 到 下 的 顺序 匹配 


的 ， 因 此 一 定 要 把 允许 动作 放 到 拒绝 动作 前 面 ， 人 否则 所 有 的 流 
量 就 将 被 拒绝 挥 ， 从 而 导致 任何 主机 都 无 法 访问 我 们 的 服务 。 
另外， 这 里 提 到 的 22 写 端口 是 ssh 服 务 使 用 的 (有 关 ssh 服 务 ， 
请 见 下 一 章 ) ， 刘 闭 老 师 移 在 这 里 挖 坑 ， 等 大 家 学 完 第 9 章 后 
可 再 验证 这 个 实验 的 效果 。 











在 设置 完 上 述 INPUT 规 则 连 之 后 ， 我 们 使 用 IP 地 址 在 
192.168.10.0/24 网 段 内 的 主机 访问 服务 器 〈( 即 前 面 提 到 的 设置 
了 INPUG 规 则 链 的 主机 〉 的 22 端 口 ， 效 果 如 下 : 





[root@Client A ~]# ssh 192.168.10.10 

The authenticity of host '192.168.10.10 (192.168.10.10) 
' can't be established. 

ECDSA key fingerprint is 70:3b:5d:37:96:7b:2e:a5:28:0d: 
7e:dc:47:6a:fe:5c. 

Are you sure you want to continue connecting (yes/no)? 


yes 

Warning: Permanently added '192.168.10.10' (ECDSA) to t 
he list of known hosts. 

root@192.168.10.10's password: 此 处 输入 对 方 主机 的 root 管 理 
员 和 密码 

Last login: Sun Feb 12 01:50:25 2017 

[root@Client A ~]# 





然后 ， 我 们 再 使 用 IP 地 址 在 192.168.20.0/24 网 段 外 的 主机 
访问 服务 器 的 22 端 口 ， 效 果 如 下 ， 就 不 会 提示 连接 请 求 被 拒绝 
了 (Connection failed) : 


[root@Client B ~]# ssh 192.168.10.10 
Connecting to 192.168.10.10:22... 


Could not connect to '192.168.10.10' (port 22): Connect 
ion failed. 





问 INPUT 规 则 链 中 添加 拒绝 所 有 人 访问 本 机 12345 端 口 的 
策略 规则 : 


[root@linuxprobe ~]# iptables -I INPUT -p tcp --dport 1 

2345 -j REJECT 

[root@linuxprobe ~]# iptables -I INPUT -p udp --dport 1 

2345 -j REJECT 

[root@linuxprobe ~]# iptables -L 

Chain INPUT (policy ACCEPT) 

target prot opt source destination 

REJECT udp -- anywhere anywhere udp dpt:italk reject-wi 

th icmp-port-unreachable 

REJECT tcp -- anywhere anywhere tcp dpt:italk reject-wi 

th icmp-port-unreachable 

ACCEPT tcp -- 192.168.10.0/24 anywhere tcp dpt:ssh 

REJECT tcp -- anywhere anywhere tcp dpt:ssh reject-with 
icmp-port-unreachable 


EA HE 7 4688 HE Ted e 








向 INPUT 规 则 链 中 添加 拒绝 192.168.10.5 主 机 访问 本 机 80 
端口 《Web 服务 〉 的 策略 规则 : 





[root@linuxprobe ~] # iptables -I INPUT -p tcp -s 192.1 
68.10.5 --dport 80 -j REJECT 

[rootglinuxprobe ~] # iptables -L 

Chain INPUT (policy ACCEPT) 


target prot opt source destination 

REJECT tcp -- 192.168.10.5 anywhere tcp dpt:http reject 
-with icmp-port-unreachable 

REJECT udp -- anywhere anywhere udp dpt:italk reject-wi 

th icmp-port-unreachable 

REJECT tcp -- anywhere anywhere tcp dpt:italk reject-wi 

th icmp-port-unreachable 

ACCEPT tcp -- 192.168.10.0/24 anywhere tcp dpt:ssh 
REJECT tcp -- anywhere anywhere tcp dpt:ssh reject-with 
icmp-port-unreachable 


pce 43 We HE A3 4688 EH Tei e 








向 INPUT 规 则 链 中 添加 拒绝 所 有 主机 访问 本 机 1000 一 
1024 端 口 的 策略 规则 : 





[root@linuxprobe ~]# iptables -A INPUT -p tcp --dport 1 
000:1024 -j REJECT 

[root@linuxprobe ~]# iptables -A INPUT -p udp --dport 1 
000:1024 -j REJECT 

[root@linuxprobe ~]# iptables -L 

Chain INPUT (policy ACCEPT) 

target prot opt source destination 

REJECT tcp -- 192.168.10.5 anywhere tcp dpt:http reject 
-with icmp-port-unreachable 

REJECT udp -- anywhere anywhere udp dpt:italk reject-wi 

th icmp-port-unreachable 

REJECT tcp -- anywhere anywhere tcp dpt:italk reject-wi 

th icmp-port-unreachable 

ACCEPT tcp -- 192.168.10.0/24 anywhere tcp dpt:ssh 
REJECT tcp -- anywhere anywhere tcp dpt:ssh reject-with 
icmp-port-unreachable 

REJECT tcp -- anywhere anywhere tcp dpts:cadlock2:1024 
reject-with icmp-port- 

unreachable 


REJECT udp -- anywhere anywhere udp dpts:cadlock2:1024 
reject-with icmp-port- 
unreachable 


TEN 43 We HE 73 4688 HE fei e 





有 关 iptables 命 令 的 知识 讲解 到 此 就 结束 了 ， 大 家 是 不 是 意 
AVS? 考虑 到 Linux 防 火 墙 的 发 展 趋势 ， 大 家 只 要 能 把 上 面 
的 实例 吸收 消化 ， 就 可 以 完全 搞定 日 常 的 iptables 配 置 工作 了 。 
但 是 请 特别 注意 ， 使 用 iptables 命 令 配置 的 防火 墙 规则 默认 会 在 
系统 下 一 次 重启 时 失效 ， 如 果 想 让 配置 的 防火 墙 策略 永久 生 
效 ， 还 要 执行 保存 命令 : 











[root@linuxprobe ~]# service iptables save 


iptables: Saving firewall rules to /etc/sysconfig/iptab 
les: [ OK ] 





8.3 firewalld 


RHEL 7 系统 中 集成 了 多 球 防 火 增 管 理工 具 ， 其 中 
firewalld (Dynamic Firewall Manager of Linux systems, Linux 
系统 的 动态 防火 墙 管 理 上 器， 服务 是 默认 的 防火 墙 配置 管 理工 
具 ， 它 拥有 基于 CLI 命令 行 界 面 ) 和 基于 GUI (图 形 用 户 界 
面 ) 的 两 种 管理 方式 。 








相 较 于 传统 的 防火 墙 管理 配置 工具 ，firewalld 文 持 动 态 更 
新 技术 并 加 入 了 区 域 zone) 的 概念 。 简 单 来 说 ， 区 域 就 是 
firewalld 预 先 准 备 了 几 套 防火 增 集 略 集合 (策略 模板 〉， 用 户 
可 以 根据 生产 场景 的 不 同 而 选择 合适 的 集 略 集合 ， 从 而 实现 防 
火 墙 策略 之 间 的 快速 切换 。 例 如 ， 我 们 有 一 台 笔 记 本 电脑 ， 每 
天 都 要 在 办 公 室 、 咖 啡 厢 和 家 里 使 用 。 按 常理 来 讲 ， 这 三 者 的 
安全 性 按照 由 高 到 低 的 顺序 来 排列 ， 应 该 是 家 隆 、 公 司 办 公 
室 、 咖 啡 厅 。 当 前 ， 我 们 希望 为 这 人 台 笔 记 本 电脑 指定 如 下 防火 
REA: 在 家 中 人 允许 访问 所 有 服务 ; 在 办 公 室 内 仅 人 允许 访 
问 文 件 共 享 服务 ， 在 咖啡 厅 仅 允许 上 网 浏览 。 在 以 往 ， 我 们 需 
要 频繁 地 手动 设置 防火 墙 策 略 规 则 ， 而 现在 只 需要 预 设 好 区 域 
民 合 ， 然 后 只 需 轻 点 鼠标 就 可 以 自动 切换 了 ， 从 而 极 大 地 提升 
了 防火 墙 策略 的 应 用 效率 。firewalld 中 常见 的 区 域名 称 ( 上 默认 
为 public) 以 及 相应 的 策略 规则 如 表 8-2 所 示 。 












































K 8-2 firewalld 中 党 用 的 区 域名 称 及 测 了 规则 
默认 策略 规则 
允许 所 有 的 数据 包 


拒绝 流入 的 流量 ， 除 非 与 流出 的 流量 相关 ; 而 如 果 流 量 上 
ssh、mdns、ipp-client、amba-client 与 dhcpv6-client 服 务 相 关 ， 
则 允许 流量 


等 同 于 home 区 域 


拒绝 流入 的 流量 ， 除 非 与 流出 的 流量 数 相关 ; 而 如 果 流 量 与 
wor 
ssh、ipp-client 与 dhcpv6-client 服 务 相 关 ， 则 允许 流量 
" 拒绝 流入 的 流量 ， 除 非 与 流出 的 流量 相关 
public 
ssh、dhcpv6-client 服 务 相 关 ， 则 允许 流量 
me 拒绝 流入 的 流量 ， 除 非 与 流出 的 流量 相关 ; 而 如 果 流 量 与 ssh 
externa 
服务 相关 ， 则 允许 流量 


: 拒绝 流入 的 流量 ， 除 非 与 流出 的 流量 相关 ; 而 如 果 流 量 与 ssh 
服务 相关 ， 则 允许 流量 











block 拒绝 流入 的 流量 ， 除 非 与 流出 的 流量 相关 


拒绝 流入 的 流量 ， 除 非 与 流出 的 流量 相关 





8.3.1 终端 管理 工具 


第 2 章 在 讲解 Linux 命 令 时 曾经 听 到 ， 命 令 行 终端 是 一 种 极 
富 效率 的 工作 方式 ，firewalld-cmd 是 firewalld 防 火 墙 配置 管理 
工具 的 CLI《 命 令 行 界面 ) 版 本 。 它 的 参数 一 般 都 是 以 “长 格 
式 ” 来 提供 的 ， 大 家 不 要 一 听 到 长 格式 承 头 大 ， 因 为 RHEL 7 系 
统 文 持 部 分 命令 的 参数 补 齐 ， 其 中 就 包含 这 条 命令 〈 很 酷 
IE) 。 也 就 是 说 ， 现 在 除了 能 用 Tab 键 自动 补 齐 命令 或 文件 名 
等 内 容 之 外 ， 还 可 以 用 Tab 刍 来 补 齐 表 8-3 中 所 示 的 长 格式 参数 
T OKET). 














表 8-3 ”firewalld-cmd 命 令 中 使 用 的 参数 以 及 作用 


作用 


pentes panini 


--set-default-zone=< X 


域名 称 设置 默认 的 区 域 ， 使 其 永久 生效 
D 水 > 





--get-zones 


--get-services 


--get-active-zones 


--add-source= 


--remove-source= 





--add-interface=< WF 


称 > 


--change-interface=< 网 


卡 名 称 > 





--list-all 


--list-all-zones 


--add-service=< 服 务 名 > 


显示 可 用 的 区 域 


显示 预先 定义 的 服务 


显示 当前 正在 使 用 的 区 域 与 网 卡 名 称 


将 源 目 此 耳 或 子 网 的 流量 导 回 指定 的 区 域 





不 再 将 源 自 此 IP 或 子 网 的 流量 导向 茶 个 指定 区 域 





将 源 自 该 网 卡 的 所 有 流量 都 导向 某 个 指定 区 域 


将 某 个 网 卡 与 区 域 进行 关联 





显示 当前 区 域 的 网 卡 配 置 参数 、 资 源 、 端 口 以 
及 服务 等 信息 


显示 所 有 区 域 的 网 卡 配 置 参数 、 资 源 、 端 口 以 
及 服务 等 信息 





设置 默认 区 域 允许 该 服务 的 流量 











- -add-port=< Sit 





设置 默认 区 域 多 许 该 端口 的 流量 





> 


--remove-service=< 服 务 


名 > 


设置 默认 区 域 不 再 允许 该 服务 的 流量 














--remove-port=< 端 





ay 设置 默认 区 域 不 再 允许 该 端口 的 流量 
人 外 以 > 


让 “永久 生效 ?的 配置 规则 立即 生效 ， 并 履 盖 当前 
的 配置 规则 








--reload 


ime 


与 Linux 系 统 中 其 他 的 防火 墙 集 略 配 置 工具 一 样 ， 使 用 
firewalld 配 置 的 防火 墙 策略 默认 为 运行 时 〈Runtime) 模式 ， 又 
称 为 当前 生效 模式 ， 而 且 随 着 系统 的 重启 会 失效 。 如 果 想 让 配 
置 策略 一 直 存 在 ， 束 需要 使 用 永久 〈Permanent) 模式 了 ， 方 
法 就 是 在 用 firewall-cmd 命 令 正 常设 置 防火 墙 策 略 时 添加 -- 
permanent 参 数 ， 这 样 配置 的 防火 墙 策略 束 可 以 永久 生效 了 。 























但 是 ， 永 久生 效 模式 有 一 个 “不 近 人 情 ” 的 特点 ， 就 是 使 用 它 设 
置 的 策略 只 有 在 系统 重启 之 后 才能 自动 生效 。 如 果 想 让 配置 的 
策略 立即 生效 ， 需 要 手动 执行 firewall-cmd --reload 命 令 。 











接 下 来 的 实验 都 很 简单 ， 但 是 提醒 大 家 一 定 要 仔细 查看 刘 
租 老 师 使 用 的 是 Runtime 模 式 还 是 Permanent 模 式 。 如 采 不 关注 
这 个 细节 ， 就 算是 正确 配置 了 防火 墙 策略 ， 也 可 能 无 法 达到 预 
期 的 效果 。 








查看 firewalld 服 务 当 前 所 使 用 的 区 域 : 


[root@linuxprobe ~]# firewall-cmd --get-default-zone 
public 


查询 eno16777728 网 卡 在 firewalld 服 务 中 的 区 域 : 


[root@linuxprobe ~]# firewall-cmd --get-zone-of-interfa 
ce-eno16777728 


public 





把 firewalld 服 务 中 eno16777728 网 卡 的 默认 区 域 修改 为 
external， 并 在 系统 重 局 后 生效 。 分 别 伍 看 当前 与 永久 模式 下 
的 区 域名 称 : 








[root@linuxprobe ~]# firewall-cmd --permanent --zone=ex 
ternal --change-interface= 
eno16777728 


success 
[root@linuxprobe ~]# firewall-cmd --get-zone-of-interfa 
ce-eno16777728 

public 

[rootglinuxprobe ~]# firewall-cmd --permanent --get-zon 
e-of-interfacezeno16777728 

external 





把 firewalld 服 务 的 当前 默认 区 域 设置 为 public: 


[root@linuxprobe ~]# firewall-cmd --set-default-zone=pu 
blic 

success 

[root@linuxprobe ~]# firewall-cmd --get-default-zone 
public 





启动 /关闭 firewalld 防 火 墙 服务 的 应 急 状 况 模 式 ， 阻 断 一 切 
网 络 连 接 《〈 当 远程 控制 服务 器 时 请 慎 用 ) : 





[root@linuxprobe ~]# firewall-cmd --panic-on 
success 

[root@linuxprobe ~]# firewall-cmd --panic-off 
success 





查询 public 区 域 是 否 人 允许 请 求 SSH 和 HTTPS 协 议 的 流量 : 





[root@linuxprobe ~]# firewall-cmd --zone=public --query 
-service=ssh 


yes 
[root@linuxprobe ~]# firewall-cmd --zone=public --query 
-service=https 


no 


把 firewalld 服 务 中 请 求 HITPS 协 议 的 流量 设置 为 永久 人 允 
许 ， 并 立即 生效 : 


[root@linuxprobe ~]# firewall-cmd --zone=public --add-s 
ervice=https 

success 

[root@linuxprobe ~]# firewall-cmd --permanent --zone=pu 


blic --add-service=https 

success 

[root@linuxprobe ~]# firewall-cmd --reload 
success 





把 firewalld 服 务 中 请 求 HTTP 协 议 的 流量 设置 为 永久 拒绝 ， 
并 立即 生效 : 


[root@linuxprobe ~]# firewall-cmd --permanent --zone=pu 
blic --remove-service=http 

success 

[root@linuxprobe ~]# firewall-cmd --reload 

success 








把 在 firewalld 服 务 中 访问 8080 和 8081 端 口 的 流量 策略 设置 
为 允许 ， 但 仅 限 当前 生效 : 





[root@linuxprobe ~]# firewall-cmd --zone=public --add-p 
ort-8080-8081/tcp 

Success 

[root@linuxprobe ~]# firewall-cmd --zone=public --list- 


ports 
8080-8081/tcp 


把 原本 访问 本 机 888 端 口 的 流量 转发 到 22 端 口 ， 要 且 求 当 
前 和 长 期 均 有 效 : 





流量 转发 命令 格式 为 firewall-cmd --permanent --zone=< 区 域 > --add- 
forward-port=port= < 源 端口 号 >:proto=< 协 议 >:toport=< 目 标 端口 号 
>:toaddr=< 目 标 卫 地 址 > 








[root@linuxprobe ~]# firewall-cmd --permanent --zone=pu 
blic --add-forward-port= 

port=888: proto=tcp: toport=22: toaddr=192.168.10.10 
success 

[root@linuxprobe ~]# firewall-cmd --reload 

success 








在 客户 端 使 用 ssh 命 令 党 试 访 问 192.168.10.10 主 机 的 888 端 





[root@client A ~]# ssh -p 888 192.168.10.10 

The authenticity of host '[192.168.10.10]:888 ([192.168 
.10.10]:888)' can't 

be established. 

ECDSA key fingerprint is b8:25:88:89:5c:05:b6:dd:ef: 76: 
63:ff:1a:54:02:1a. 


Are you sure you want to continue connecting (yes/no)? 
yes 


Warning: Permanently added '[192.168.10.10]:888' (ECDSA 
) to the list of known hosts. 
root@192.168.10.10's password: 此 处 输入 远程 root 管 理 员 的 密生 


Last login: Sun Jul 19 21:43:48 2017 from 192.168.10.10 








firewalld 中 的 富 规则 表示 更 细致 、 更 详细 的 防火 墙 策略 配 
置 ， 它 可 以 针对 系统 服务 、 端 口号 、 源 地 址 和 目标 地 址 等 诸多 
言 息 进行 更 有 正 对 性 的 策略 配置 。 它 的 优先 级 在 所 有 的 防火 墙 
策略 中 也 是 最 高 的 。 比 如 ， 我 们 可 以 在 firewalld 服 务 中 配置 一 
条 富 规 则 ， 使 其 拒绝 192.168.10.0/24 网 段 的 所 有 用 户 访问 本 机 
的 ssh 服 务 (22 端 口 ) : 

















[root@linuxprobe ~]# firewall-cmd --permanent --zone=pu 
blic --add-rich-rule=" 

rule family="ipv4" source address="192.168.10.0/24" ser 
vice name="ssh" reject" 

success 


[root@linuxprobe ~]# firewall-cmd --reload 
success 








在 客户 端 使 用 ssh 命 令 尝 试 访问 192.168.10.10 主 机 的 ssh 服 
务 (22 端 口 ) : 





[root@client A ~]# ssh 192.168.10.10 
Connecting to 192.168.10.10:22... 


Could not connect to '192.168.10.10' (port 22): Connect 


ion failed. 
8.3.2 AeA 


FES APRA Linux Rat, JUPE 8 Sew x m ET ak 
并 推荐 的 图 形 化 工具 ， 但 是 firewall-config 做 到 了 。 它 是 
firewalld 防 火 墙 配 置 管理 工具 的 GUI (图 形 用 户 界面 ) 版本， 
几乎 可 以 实现 所 有 以 命令 行 来 执行 的 操作 。 喀 不 夸张 的 说 ， 即 
使 读者 没有 扎实 的 Linux 命 令 基 础 ， 也 完全 可 以 通过 它 来 妥善 
配置 RHEL 7 中 的 防火 墙 策 略 。firewall-config 的 界面 如 图 8-2 所 
示 ， 其 功能 具体 如 下 。 




















e 1: 选择 运行 时 (Runtime) EAKA (Permanent) 模式 
的 配置 。 

: 可 选 的 策略 集合 区 域 列表 。 

: 和 常用 的 系统 服务 列表 。 

: 当前 正在 使 用 的 区 域 。 

: 管理 当前 被 选中 区 域 中 的 服务 。 

: 管理 当前 被 选中 区 域 中 的 端口 。 

: 开局 或 天 财 SNAT 〈 源 地 址 转换 协议 ) 技术 。 

: 设置 端口 转发 策略 。 

: 控制 请 求 icmp 服 务 的 流量 。 

10: PERG SHEN LN 

11: 管理 网 卡 设备 。 


e 
© c N © Ui A WUN 





e 12: 被 选中 区 域 的 服务 ， 大 义 选 了 相应 服务 前 面 的 复 选 
框 ， 则 表示 人 允许 与 之 相关 的 流量 。 
e 13: firewall-config 工 具 的 运行 状态 。 





Firewall Configuration 
File Options View Help 


Configuration: Runtime ~ © 


f | 
| Zones | Services 


A TON NO) defines the Level of trust for network connections, interfaces and source addresses bound to the zone. The 


zone combines services, ports, protocols, masquerading, port/packet forwarding, icmp filters and rich rules. The zone can be 
bound to interfaces and source wi. 


Zone ae, © © © 四 4 


` | Services | Ports Masquerading Port Forwarding ICMP Filter Rich Rules Interfaces > 
block 
d Here you can define which services are trusted in the zone. Trusted services are accessible from 
mz S 5 
all hosts and networks that can reach the machine from connections, interfaces and sources bound 
drop 


to this zone. 


external Service | 
home amanda-client 
internal bacula 
^ bacula-client j 
trusted dhcp 2 
work “| dhcpv6 
V' dhcpv6-client 
dns 
ftp 
Connected. 


B Default Zone: public Lockdown: disabled Panic Mode: disabled 


图 8-2 ”firewall-config 的 界面 
xiu ze p BUE RR LJ. Æ 1E Hjfirewall-config LH. B se 
火 墙 集 略 之 后 ， 无 须 进 行 二 次 确认 ， 因 为 只 要 有 修改 内 容 ， 它 
就 自动 进行 保存 。 下 面 进行 动手 实践 环节 。 














我 们 先 将 当前 区 域 中 请 求 http 服 务 的 流量 设置 为 多 许 ， 但 


仅 限 当前 生效 。 有 具体 配置 如 图 8-3 所 示 。 





答 试 添加 一 条 防火 寺 策 略 规则 ， 使 其 放行 访问 8080 一 8088 
端口 〈《TCP 协 议 ) 的 流量 ， 并 将 其 设置 为 永久 生效 ， 以 达到 系 
统 重 局 后 防火 寺 策 略 依然 生效 的 目的 。 在 按照 图 8-4 所 示 的 界 
面 配 置 完 毕 之 后 ， 还 需要 在 Options 菜 单 中 单 击 Reload Firewalld 
命令 ， 让 配置 的 防火 墙 策略 立即 生效 《〈 见 图 8-5) 。 这 与 在 命 
令 行 中 执行 --reload 参 数 的 效果 一 样 。 








| Firewall Configuration 
File Options View Help 


| : 
| Zones | Services 
A firewalld zone defines the Level of trust for network connections, interfaces and source addresses bound to the zone. The 
zone combines services, ports, protocols, masquerading, port/packet forwarding, icmp filters and rich rules. The zone can be 
bound to interfaces and source addresses. 
Zone 4 : 5 - 
1$ Ports Masquerading Port Forwarding ICMP Filter Rich Rules Interfaces > 
block L 
F Here you can define which services are trusted in the zone. Trusted services are accessible from 
mz 3 : : 
all hosts and networks that can reach the machine from connections, interfaces and sources bound 
drop to this zone. 
external i 
Service 
home 
ftp 
internal ) V" 
high-availability 
© http 
trusted m 
https 
work : 
imaps 
Jo ipp 
ipp-client 
“| ipsec 
| Connected. 





Default Zone: public Lockdown: disabled Panic Mode: disabled 


图 8-3 ”放行 请 求 http 服 务 的 流量 


Port and Protocol 


| 
| Please enter a port and protocol. 


| Port/ Port Range: 8080-8088 





Protocol: | tcp v | 


| Cancel | 








图 8-4 “放行 访问 8080 一 8088 端 口 的 流量 


前 面 在 讲解 firewall-config 工 具 的 功能 时 ， 曾 经 提 到 了 
SNAT (Source Network Address Translation， 源 网 络 地 址 转 
换 ) 技术 。SNAT 是 一 种 为 了 解决 IP 地 址 省 乏 而 设计 的 技术 ， 
它 可 以 使 得 多 个 内 网 中 的 用 户 通 过 同一 个 外 网 IP 接 入 Internet。 
该 技术 的 应 用 非常 广泛 ， 甚 至 可 以 说 我 们 每 天 都 在 使 用 ， 只 不 
WA Sica Sf. Lu. SRA PMNs CC 
无 线路 由 器 ) 访问 本 书 配套 站 点 www.linuxprobe.com 时 ， 就 用 
到 了 SNAT 技 术 。 





Firewall Configuration 


File Options View Help 


[2] Change Zones of Connections... > 
| Zo 


zont Panic Mode 


Lockdown 


drop 
external 
home 


internal 


trusted 


work 


Connected. 


Change Default Zone 
: 


'k connections, interfaces and source addresses bound to the zone. The 
ng, port/packet forwarding, icmp filters and rich rules. The zone can be 


———————————— 
€ | services | Ports Masquerading | Port Forwarding |ICMP Filter | Rich Rules | Interfaces > 


Add entries to forward ports either from one port to another on the local system or from the Local 
system to another system. Forwarding to another system is only useful if the interface is 
masqueraded. Port forwarding is IPv4 only. 


Port Protocol ToPort To Address 
888 tcp 22 


Add 


Default Zone: public Lockdown: disabled Panic Mode: disabled 


图 8-5 ”让 配置 的 防火 增 策 略 规 则 立即 生效 


大 家 可 以 看 一 下 在 网 络 中 不 使 用 SNAT 技 术 《〈 见 图 8-6) 和 
使 用 SNAT 技 术 《〈 见 图 8-7) 时 的 情况 。 在 图 8-6 所 示 的 局 域 网 
中 有 多 台 PC， 如 果 网 关 服 务 器 没有 应 用 SNAT 技 术 ， 则 互联 网 
中 的 网 站 服务 器 在 收 到 PC 的 请 求 数据 包 ， 并 回 送 啊 应 数据 包 
时 ， 将 无 法 在 网 络 中 找到 这 个 私有 网 络 的 卫 地 址 ， 所 以 PC 也 就 
收 不 到 响应 数据 包 了 。 在 图 8-7 所 示 的 局 域 网 中 ， 由 于 网 关 服 
务 器 应 用 了 SNAT 技 术 ， 所 以 互联 网 中 的 网 站 服务 器 会 将 响应 
数据 包 发 给 网 关 服 务 器 ， 再 由 后 者 转发 给 局 域 网 中 的 PC。 














网 关 服 务 器 


局 域 网 PC 机 外 网 : 111. 196. 211. 212 互联 网 中 的 网 站 服务 器 
192. 168. 10. 10 61. 240. 149. 149 


内 网 : 192. 168. 10. 1 


源 地 址 : 192. 168. 10. 10 源 地 址 : 192. 168. 10. 10 


目标 地 址 : 61.240. 149. 149 


E y; 
HITP 请 求 < 了 





目标 地 址 : 61. 240. 149. 149 
a 


HTTP 请 求 





-— 


HTTP 应 答 


Re at | 


M 源 地 址 :61. 240. 149. 149 


目标 地 址 : 192. 168. 10. 10 


图 8-6 没有 使 用 SNAT 技 术 的 网 络 


使 用 iptables 命 令 实现 SNAT 技 术 是 一 件 很 麻烦 的 事情 ， 但 
是 在 firewall-config 中 却 是 小 菜 一 碟 了 。 用 户 只 需 按 照 图 8-8 进 
行 配置 ， 并 选中 Masquerade zone 复 选 杠 ， 就 自动 开启 了 SNAT 
技术 。 











为 了 让 大 家 直观 查看 不 同 工 具 在 实现 相同 功能 的 区 别 ， 这 
里 使 用 firewall-config 工 具 重 新 演示 了 前 面 使 用 firewalld-cmd 来 
配置 防火 才 策 略 规则 ， 将 本 机 888 端 口 的 流量 转发 到 22 端 口 ， 
且 要 求 当 前 和 长 期 均 有 效 ， 有 具体 如 图 8-9 和 图 8-10 所 示 。 








局 域 网 PC 机 N uo ots 互联 网 中 的 网 站 服务 器 


192. 168. 10. 10 61. 240. 149. 149 
内 网 : 192. 168. 10. 1 


源 地 址 : 192.168. 10. 10 源 地 址 : 111.196.211.212 


目标 地 址 : 61. 240. 149. 149 目标 地 址 : 61. 240. 149. 149 
HTTP 请 求 





HTTP 应 答 
源 地 址 :61. 240. 149. 149 


43> 2m + 


源 地 址 : 61.240. 149. 149 


目标 地 址 ，192. 168. 10. 10 目标 地 址 : 111. 196. 211. 212 





图 8-7 使 用 SNAT 技 术 处 理 过 的 网 络 





Firewall Configuration =- | a} x 
File Options View Help 


Configuration: Permanent v 




















| Zones | Services 
A firewalld zone defines the Level of trust for network connections, interfaces and source addresses bound to the zone. The 
zone combines services, ports, protocols, masquerading, port/packet forwarding, icmp filters and rich rules. The zone can be 
bound to interfaces and source addresses. 
Z 7 f : | : 7 = 
— 《 | Services Ports) Masquerading | Port Forwarding | ICMP Filter Rich Rules Interfaces > 
block r : 
d Masquerading allows you to set up a host or router that connects your local network to the 
mz 
internet. Your Local network will not be visibLe and the hosts appear as a single address on the 
drop internet. Masquerading is IPv4 only. 
external 贸 Masquerade zone 
home 1 : : 
If you enable masquerading, IP forwarding will be enabled for your IPv4 networks. 
internal | 
trusted 
work 
+Z%- 国 
Connected. Default Zone: public Lockdown: disabled Panic Mode: disabled 


图 8-8 ”开启 防 火 墙 的 SNAT 技 术 


Port Forwarding 


Please select the source and destination options 
according to your needs. 


Source 


Protocol: | tcp v | 


Port / Port Range: 888 [REIS] 
Destination 


If you enable Local forwarding, you have to specify a 
port. This port has to be different to the source port. 


'F Local forwarding 


fJ Forward to another port 


IP address: | 
Port / Port Range: [aq 








图 8-9 ”配置 本 地 的 端口 转发 








Firewall Configuration - | 口 | 关 





Reload Firewalld 






View Help 





f— Change Zones of Connections... > 





Change Default Zone | 
| A fir k connections, interfaces and source addresses bound to the zone. The 


| zont Panic Mode ng, port/packet forwarding, icmp filters and rich rules. The zone can be 


Lockdown 





| <$] Services| Ports | Masquerading Port Forwarding | ICMP Filter | Rich Rules | Interfaces > 
| block à; - ! 了 | 
Add additional ports or port ranges, which need to be accessible for all hosts or networks that can || 











| connect to the machine. 
drop | 





| Port Protocol 
| external 


| 8080-8088 tcp 
home 





| internal 


| 
| public 














中 El = è Add Edit Remove 





Connected. Default Zone: public Lockdown: disabled Panic Mode: disabled 


图 8-10 ”让 防火 墙 效 策略 规则 立即 生效 


配置 富 规则 ， 让 192.168.10.20 主 机 访问 到 本 机 的 1234 端 口 
号 ， 如 图 8-11 所 示 。 


Firewall Configuration 


File Options View Hel Rich Rule 


Configuration: Please enter a rich rule. 


f X : For host or network white or blacklisting deactivate the element. 
| Zones | Services 


A firewalld zone defines th Family: | ipv4 X 


zone combines services, pc 


bound to interfaces and sol (多 Geel port v || 1234/tcp 图 
Zone 


pund to the zone. The 


ules. The zone can be 











| 
accept v h Rules | Interfaces > 
block V Action: 
Pr» With Limit: | 
drop 
Source: 192.168.10.20/24 @ N inverted 

external 
home Destination: 192.168.10.10/24 & inverted 
internal 日 标 
trusted Log: 
work [Ei 

Audit: 

* 
Cancel | OK 
Connected. 


Default Zone: public Lockdown: disabled Panic Mode: disabled 


图 8-11 ”配置 防火 增 富 规则 策略 








如 果 生 产 环 境 中 的 服务 器 有 多 块 网 卡 在 同时 提供 服务 这 
种 情况 很 常见 )， 则 对 内 网 和 对 外 网 提供 服务 的 网 卡 要 选择 的 
防火 墙 策 略 区 域 也 是 不 一 样 的 。 也 就 是 说 ， 可 以 把 网 卡 与 防火 
墙 策略 区 域 进行 绑 定 〈 见 图 8-12) ， 这 样 就 可 以 使 用 不 同 的 防 
火 墙 区 域 集 略 ， 对 源 上 自 不 同 网 卡 的 流量 进行 针对 性 的 监控 ， 效 
Faz UF 








最 后 ， 刘 迁 老 师 想 说 的 是 ，firewall-config 工 具 真 的 非常 实 
用 ,很 多 原本 复 淋 的 长 命令 被 用 图 形 化 按钮 蔡 代 ， 设 置 规则 也 











简单 明了 ， 足 以 应 对 
HR s FE Jes, VL] —— R 
便 。 


党 工作 。 所 以 再 次 问 大 家 强调 配置 防火 
能 实 A 


H ial 
要 能 实现 所 需 的 功能 ， 用 什么 工具 请 随 君 





Firewall Configuration -|o |x 
File Options View Help 


Configuration: Runtime ~ 


| Zones | Services | 





r 


A firewalld zone defines the Level of trust for network connections, interfaces and source addresses bound to the zone. The 
zone combines services, ports, protocols, masquerading, port/packet forwarding, icmp filters and rich rules. The zone can be 


bound to interfaces and source addresses. 

















Zone | Sem 3 P | 
—— ,《 | Services| Ports Masquerading Port Forwarding ICMP Filter Rich Rules | Interfaces | > 
block m i ; i . - 
d | Add entries to bind interfaces to the zone. If the interface will be used by a connection, the zone 
mz : : s : 
| Will be set to the zone specified in the connection. 
drop i 
Interface Comment 
external 
eno16777728 Used by network connection eno16777728 
home 
internal 
trusted 
work 








Add Edit. || Remove 























Connected. Changes applied. Default Zone: public Lockdown: disabled Panic Mode: disabled 


图 8-12 ER 5 KHR DX SET DAE 





8.4 服务 的 访问 控制 列表 


TCP Wrappers 是 RHEL 7 系统 中 默认 启用 的 一 球 流 量 监控 
程序 ， 它 能 够 根据 来 访 主机 的 地 址 与 本 机 的 目标 服务 程序 作出 
允许 或 拒绝 的 操作 。 换 名 话说 ，Linux 系 统 中 其 实 有 两 个 层面 
的 防火 场 ， 第 一 种 是 前 面 讲 到 的 基于 TCP/P 协 议 的 流量 过 滤 工 
县 ， 而 TCP Wrappers 服 务 则 是 能 允许 或 茶 止 Linux 系 统 提 供 服 
务 的 防火 墙 ， 从 而 在 更 高 层面 保护 了 Linux 系 统 的 安全 运行 。 














TCP Wrappers 服 务 的 防火 墙 俩 略 由 两 个 控制 列表 文件 所 控 
制 ， 用 户 可 以 编辑 允许 控制 列表 文件 来 放行 对 服务 的 请 求 沈 
量 ， 也 可 以 编辑 拒绝 控制 列表 文件 来 阻止 对 服务 的 请 求 流量 。 
控制 列表 文件 修改 后 会 立即 生效 ， 系 统 将 会 先 检查 允许 控制 列 
表 文 件 Cetc/hosts.allow) ， 如 果 匹 配 到 相应 的 允许 策略 则 放 
行 流量 ， 如 果 没 有 匹配 ， 则 去 进一步 匹配 拒绝 控制 列表 文件 
(/etc/hosts.deny) ， 知 找到 匹配 项 则 拒绝 该 流量 。 如 果 这 两 个 
文件 全 都 没有 匹配 到 ， 则 默认 放行 流量 。 























TCP Wrappers 服 务 的 控制 列表 文件 配置 起 来 并 不 复杂 ， 常 
用 的 参数 如 表 8-4 所 示 。 


表 8-4 TCP Wrappers 服 务 的 控制 列表 文件 中 常用 的 参数 


| 


客户 端 类 型 示例 满足 示例 的 客户 端 列表 


单一 主机 IP 地 址 为 192.168.10.10 的 主机 
指定 网 段 IP 段 为 192.168.10.0/24 的 主机 
类 


肯定 网 段 m—— 


指定 DNS 后 所 有 DNS 后 绥 


.linuxprobe.com 


a 为 .linuxprobe.com 的 主机 





指定 主机 名 主机 名 称 为 
www. linuxprobe. com 、 
称 www.linuxprobe.com 的 主机 


指定 所 有 客 


er 所 有 主机 全 部 包括 在 内 
Fm; 


在 配置 TCP Wrappers 服 务 时 需要 遵循 两 个 原则 : 











编写 拒绝 集 略 规则 时 ， 填 写 的 是 服务 名 称 ， 而 非 协 议 名 
称 ; 

e 建议 先 编写 拒 绝 俩 略 规 则 ， 再 编写 允许 策略 规则 ， 以 便 直 
观 地 看 到 相应 的 效果 。 

















下 面 编写 拒绝 策略 规则 文件 ， 蔡 止 访问 本 机 sshd 服 务 的 所 
有 流量 (无 须 /etc/hosts.deny 文 件 中 修改 原 有 的 注释 信息 ) 


[root@linuxprobe ~]# vim /etc/hosts.deny 

# 

# hosts.deny This file contains access rules which are 
used to 

deny connections to network services that either use 
the tcp_wrappers library or that have been 

started through a tcp_wrappers-enabled xinetd. 


dit 


The rules in this file can also be set up in 
/etc/hosts.allow with a 'deny' option instead. 


See 'man 5 hosts options' and 'man 5 hosts access' 
for information on rule syntax. 

See 'man tcpd' for information on tcp wrappers 
sshd:* 


# 
# 
# 
# 
# 
# 
# 
# 
# 


[root@linuxprobe ~]# ssh 192.168.10.10 
ssh_exchange identification: read: Connection reset by 
peer 








接 下 来 ， 在 允许 策略 规则 文件 中 添加 一 条 规则 ， 使 其 放行 
源 自 192.168.10.0/24 网 段 ， 访 问 本 机 sshd 服 务 的 所 有 流量 。 可 
以 看 到 ， 服 务 器 立刻 就 放行 了 访问 sshd 服 务 的 流量 ， 效 果 非 常 
直观 : 








[root@linuxprobe ~]# vim /etc/hosts.allow 
# 
# hosts.allow This file contains access rules which are 


used to 

allow or deny connections to network services that 
either use the tcp_wrappers library or that have been 
started through a tcp wrappers-enabled xinetd. 


See 'man 5 hosts options' and 'man 5 hosts access' 
for information on rule syntax. 

See 'man tcpd' for information on tcp wrappers 
sshd:192.168.10. 


TE ck dt Gb HH OH 


[rootglinuxprobe ~]# ssh 192.168.10.10 

The authenticity of host '192.168.10.10 (192.168.10.10) 
" can't be established. 

ECDSA key fingerprint is 70:3b:5d:37:96:7b:2e:a5:28:0d: 
7e:dc:47:6a:fe:5c. 

Are you sure you want to continue connecting (yes/no)? 

yes 

Warning: Permanently added '192.168.10.10' (ECDSA) to t 
he list of known hosts. 

root(0192.168.10.10's password: 

Last login: Wed May 4 07:56:29 2017 

[root@linuxprobe ~]# 





F A 


1. 在 RHEL 7 系统 中 ，iptables 是 否 已 经 被 firewalld 服 务 彻 
REAR? 


多 


Efe 





2. 


没有 ，iptables 和 firewalld 服 务 均 可 用 于 RHEL 7 系统 。 
处 。 


LAB 


EI e. 


请 简 述 防火 墙 策略 规则 中 DROP 和 REJECT 的 不 同 之 








DROP 的 动作 是 丢 包 ， 不 啊 应 ，REJECT 是 拒绝 请 
求 ， 同 时 向 发 送 方 回 送 拒绝 信息 。 


3. 如 何 把 iptables 服 务 的 INPUT 规 则 链 默认 策略 设置 为 
DROP? 


LIS 
rie 


执行 命令 iptables -P INPUT DROP 即 可 。 


端口 ) ? 


4. 怎样 编写 一 条 防火 墙 策略 规则 ， 使 得 iptables 服 务 可 以 
禁止 源 自 192.168.10.0/24 网 段 的 流量 访问 本 机 的 sshd 服 务 (22 


答 : 执行 命令 iptables -I INPUT -s 192.168.10.0/24 -p tcp -- 
dport 22 -j REJECTS AY. 


5. 请 简 述 firewalld 中 区 域 的 作用 。 


答 : 可 以 依据 不 同 的 工作 场景 来 调用 不 同 的 firewalld 区 
域 ， 实 现 大 量 防 火 墙 策略 规则 的 快速 切换 。 


6. 如 何在 firewalld 中 把 默认 的 区 域 设置 为 dmz? 
答 : 执行 命令 firewall-cmd --set-default-zone=dmz 即 可 。 


7. 如 何 让 firewalld 中 以 永久 (Permanent) 模式 配置 的 防 
火 墙 策略 规则 立即 生效 ? 


A. 执行 命令 firewall-cmd --reload. 





8. 使 用 SNAT 技 术 的 目的 是 什么 ? 


E., SNAT 是 一 种 为 了 解决 IP 地 址 匮乏 而 设计 的 技术 ， 它 
可 以 使 得 多 个 内 网 中 的 用 户 通 过 同一 个 外 网 卫 接 入 Internet CH. 
联网 ) 。 





9. TCP Wrappers 服 务 分 别 有 人 允许 策略 配置 文件 和 拒绝 策 
略 配置 文件 ， 请 问 匹 配 顺序 是 怎么 样 的 ? 





答 : TCP Wrappers 会 先 依次 匹配 允许 策略 配置 文件 ， 然 后 
再 依次 匹配 拒绝 策略 配置 文件 ， 如 果 都 没有 匹配 到 ， 则 默认 放 


行 流量 。 


第 9 音 ”使 用 ssh 服 务 管理 远程 主机 





。 配置 网 络 服务 ; 







。 远程 控制 服务 ; 


。 不 间断 会 话 服务 。 








本 章 讲解 了 如 何 使 用 nmtui 命 令 配置 网 络 参数 ， 以 及 通过 
nmcli 命 令 得 看 网 络 信息 并 管理 网 络 会 话 服务 ， 从 而 让 您 能 够 








在 不 同 工 作 场景 中 快速 地 切换 网 络 运行 参数 ， 还 讲解 了 如 何 手 
工 绑 定 mode6 模 式 双 网 卡 ， 实 现 网 络 的 负载 均衡 。。 


本 章 还 深入 介绍 了 SSH 协 议 与 shd 服 务 程序 的 理论 知识 、 
Linux 系 统 的 远程 管理 方法 以 及 在 系统 中 配置 服务 程序 的 方 
法 ， 并 采用 实验 的 形式 演示 了 使 用 基于 密码 验证 的 sshd 服 务 程 
序 进行 远程 登录 ， 以 及 使 用 screen 服 务 程序 远程 管理 Linux 系 统 
的 不 间断 会 话 等 技术 。 

















当 读 者 擎 握 了 本 章 的 内 容 之 后 ， 也 就 完全 具备 了 对 Linux 














系统 进行 配置 管理 的 知识 。 而 且 后 续 章 市 中 将 陆续 引入 大 量 实 
用 服务 的 配置 内 容 ， 读 者 将 用 到 本 章 学 习 的 知识 进行 配置 ， 这 
样 一 方面 可 以 让 读者 对 生产 环境 中 用 到 的 大 多 数 热门 服务 程序 
有 一 个 广泛 且 深 入 的 认识 ， 力 一 方面 也 可 以 掌握 相应 的 配置 方 
E 











9.1 配置 网 络 服务 


9.1.1 配置 网 络 参数 


截至 目前 ， 大 家 已 经 完全 可 以 利用 当前 所 学 的 知识 来 管理 
Linux 系 统 了 。 当 然 ， 大 家 的 水 平 完 全 可 以 更 进一步 ， 当 有 朝 
一 日 登 顶 技术 殴 峰 时 ， 您 一 定 会 感谢 现在 正在 努力 学 习 的 您 。 





我 们 接 下 来 将 学 习 如 何在 Linux 系 统 上 配置 服务 。 但 是 在 
此 之 前 ， 必 须 先 保证 主机 之 间 能 够 顺畅 地 通信 。 如 果 网 络 不 
通 ， 即 便服 务 部 署 得 再 正确 用 户 也 无 法 顺利 访问 ， 所 以 ， 配 置 
网 络 并 确保 网 络 的 连通 性 是 学 习 部 署 Linux 服 务 之 前 的 最 后 一 
个 重要 知识 点 。 








在 4.1.3 小 节 讲 解 了 如 何 使 用 Vim 文 本 编辑 器 来 配置 网 络 参 
数 ， 其 实 ， 在 RHEL 7 系统 中 有 至少 5 种 网 络 的 配置 方法 ， 刘 迟 
老师 尽量 在 本 书 中 为 大 家 逐一 演示 。 这 里 教 给 大 家 的 是 使 用 
nmtui 命 令 来 配置 网 络 ， 其 具体 的 配置 步骤 如 图 9-1 至 图 9-8 所 
示 。 当 遇 到 不 容易 理解 的 内 容 时 ， 我 们 会 额外 进行 解释 说 明 。 











root@linuxprobe:~/Desktop 


File Edit View Search Terminal Help 
[rootaülinuxprobe Desktop]# nmtui 


图 9-1 执行 nmtui 命 令 运行 网 络 配置 工具 





root@linuxprobe:~/Desktop Ist es 


File Edit View Search Terminal Help 


NNNM EM ho 3 | 
Please select an option 


Activate a connection - 
Set system hostname 


Quit. 
«OK» 





图 9-2 ”选中 Edit a connection2f-3Z P [ul ZE fë 


在 RHEL 5, RHEL 6 系统 及 其 他 大 多 数 早期 的 Linux 系 统 
中 ， 网 卡 的 名 称 一 直 都 是 eth0、eth1、eth2、.……. ， 但 在 RHEL 
7 中 则 变 成 了 类 似 于 eno16777736 这 样 的 名 字 。 不 过 除了 网 卡 的 
名 称 发 生变 化 之 外 ， 其 他 几乎 一 切 照 旧 ， 因 此 这 里 演示 的 网 络 
配置 实验 完全 可 以 适用 于 各 种 版 本 的 Linux 系 统 。 





root@linuxprobe:~/Desktop -ja 


File Edit View Search Terminal Help 


<Delete> 





图 9-3 ”选中 要 编辑 的 网 卡 名 称 ， 然 后 按 下 Edit《〈 编 辑 ) 按钮 





root@linuxprobe:~/Desktop PU 


File Edit View Search Terminal Help 


Edit connection 


Profile name : 
Device [gOMCISMPIS IE: 


= ETHERNET «Show» 


= IPv4 CONFIGURATION BEER «Show» 
= IPv6 CONFIGURATION «Automatic» «Show» 


[ ] Automatically connect 
[X] Available to all users 


«Cancel» «OK» 





图 9-4 把 网 络 IPv4 的 配置 方式 改 成 Manual (手动 ) 


再 多 提 一 句 ， 我 们 的 这 本 《Linux 就 该 这 么 学 》 不 仅 学 习 门 槛 低 、 
简单 易 懂 ， 而 且 还 有 一 个 潜在 的 优势 一 一 书 中 所 有 的 服务 器 主机 IP 地 
址 均 为 192.168.10.10， 而 客户 端 主机 均 为 192.168.10.20 及 
192.168.10.30。 这 样 的 好 处 就 是 ， 在 后 面部 绰 Linux 服 务 的 时 候 ， 不 用 
每 次 都 要 考虑 IP 地 址 变化 的 问题 ， 从 而 可 以 心 无 劳 玖 地 关注 配置 细 


He 


To 








root@linuxprobe:~/Desktop 
File Edit View Search Terminal Help 


Edit connection 


Profile name Gite 116777736 
Device EIMCIeMPIE 


ETHERNET <Show> 
IPv4 CONFIGURATION <Manual> 


IPv6 CONFIGURATION <Automatic> <Show> 


] Automatically connect 


[X] Available to all users 


«Cancel» «OK» 








图 9-5 按 下 Show (显示 ) 按钮 ， 显 示 信 息 配 置 框 








现在 ， 在 服务 器 主机 的 网 络 配置 信息 中 填写 卫 地 址 
192.168.10.10/24。 





root@linuxprobe:~/Desktop - || x 
File Edit View Search Terminal Help 
Edit connection 


Profile name [aes 
Device [OMISIT yal 


= ETHERNET 


IPv4 CONFIGURATION 
Addresses 由 ii <Remove> 


Gateway 
DNS servers 
Search domains «Add...» 


Routing (No custom routes) «Edit...» 
[ ] Never use this network for default route 


[X] Require IPv4 addressing for this connection 





图 9-6 ”填写 IP 地 址 

至 此 ， 在 Linux 系 统 中 配置 网 络 的 步 又 就 结束 了 了 。 

刘 遂 老师 在 塔 训 时 经 稼 会 发 现 ， 很 多 学 员 在 安装 RHEL 7 
系统 时 默认 没有 激活 网 卡 。 如 果 各 位 读者 有 同样 的 情况 也 不 用 
担心 ， 只 需 使 用 Vim 编 辑 器 将 网 卡 配 置 文件 中 的 ONBOOT 人 参数 
修改 成 yes， 这 样 在 系统 重启 后 网 卡 就 被 激活 了 。 











root@linuxprobe:~/Desktop - 


File Edit View Search Terminal Help 


Edit connection 


Addresses .16 2 <Remove> 
<Add...> 
Gateway O 
DNS servers <Add...> 
Search domains <Add...> 


Routing (No custom routes) <Edit...> 
[ ] Never use this network for default route 


[X] Require IPv4 addressing for this connection 


= IPv6 CONFIGURATION «Automatic» «Show» 


[ ] Automatically connect 
[X] Available to all users 


«Cancel» 





图 9-7 单 击 OK 按钮 保存 配置 








root@linuxprobe:~/Desktop ewe 
File Edit View Search Terminal Help 


«Add» 


«Edit...» 


«Delete» 





图 9-8” 单 击 Quit 按 钮 退出 





[root@linuxprobe ~]# vim /etc/sysconfig/network-scripts 
/ifcfg-eno16777736 

TYPE=Ethernet 

BOOTPROTO=none 

DEFROUTE=yes 

IPV4_FAILURE_FATAL=no 

IPV6INIT=yes 

IPV6_AUTOCONF=yes 

IPV6_DEFROUTE=yes 

IPV6_FAILURE_FATAL=no 

NAME=en016777736 
UUIDzec77579b-2ced-481f-9c09-f562b321e268 
ONBOOT-yes 

IPADDRO=192.168.10.10 


HWADDR=@@: 0C: 29: C4:A4: 09 
PREF IX@=24 
IPV6_PEERDNS=yes 
IPV6_PEERROUTES=yes 








当 修改 完 Linux 系 统 中 的 服务 配置 文件 后 ， 并 不 会 对 服务 
程序 立即 产生 效果 。 要 想 让 服务 程序 获取 到 最 新 的 配置 文件 ， 
需要 手动 重 局 相应 的 服务 ， 之 后 就 可 以 看 到 网 络 畅 通 了 : 








[root@linuxprobe ~]# systemctl restart network 
[root@linuxprobe ~]# ping -c 4 192.168.10.10 
PING 192.168.10.10 (192.168.10.10) 56(84) bytes of data 


64 bytes from 192.168.10.10: icmp seq-1 ttl-64 time-0.0 
56 ms 
64 bytes from 192.168.10.10: icmp seq-2 ttl-64 time=0.0 
99 ms 
64 bytes from 192.168.10.10: icmp seq-3 ttl-64 time-0.0 
95 ms 
64 bytes from 192.168.10.10: icmp seq-4 ttl-64 time=0.0 
95 ms 


--- 192.168.10.10 ping statistics --- 

4 packets transmitted, 4 received, 0% packet loss, time 
2999ms 

rtt min/avg/max/mdev - 0.056/0.086/0.099/0.018 ms 





9.1.2 ”创建 网 络 会 话 


RHEL 和 CentOS 系 统 默认 使 用 NetworkManager 来 提供 网 络 
服务 ， 这 是 一 种 动态 管理 网 络 配置 的 守护 进程 ， 能 够 让 网 络 设 





备 保 持 连 接 状 态 。 可 以 使 用 nmcli 命 令 来 管理 Network Manager 
服务 。nmcli 是 一 款 基 于 命令 行 的 网 络 配置 工具 ， 功 能 丰富 ， 
参数 众多 。 它 可 以 轻松 地 查看 网 络 信 息 或 网 络 状 态 : 

















[root@linuxprobe ~]# nmcli connection show 

NAME UUID TYPE DEVICE 

eno16777736 ec77579b-2ced-481f-9c09-f562b321e268 802-3- 
ethernet eno16777736 

[root@linuxprobe ~]# nmcli con show eno16777736 
connection.id: eno16777736 

connection.uuid: ec77579b-2ced-481f-9c09-f562b321e268 
connection.interface-name: 
connection.type: 802-3-ethernet 


connection. 
connection. 
connection. 
connection. 
connection. 
connection. 
connection. 
connection. 
connection. 


autoconnect: yes 
timestamp: 1487348994 
read-only: no 
permissions: 

zone: 
master: -- 

slave-type: -- 
secondaries: 
gateway-ping-timeout: 0 
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另外 ，RHEL7 系 统 支持 网 络 会 
置 文件 中 快速 切换 (非常 类 似 于 firewalld 防 火 墙 服务 中 的 区 域 
如 果 我 们 在 公司 网 络 中 使 用 笔 
"ie 的 卫 地 址 ， 而 回 到 家 中 则 是 使 用 DHCP 自 


技术 ) 。 








IX rs BS Wh cup 但 是 使 用 了 网 络 会 


Mum | 只 需 在 不 同 的 使 用 环境 中 激活 相应 的 








话 功能 ， 人 允许 用 户 在 多 个 配 





E 记 本 电脑 时 需要 手动 指 








网 络 会 话 ， 就 可 以 实现 网 络 配置 信息 的 上 自动 切换 了 。 


可 以 使 用 nmcli 命 令 并 按照 “connection add con-name type 
ifname” 的 格式 来 创建 网 络 会 话 。 假 设 将 公司 网 络 中 的 网 络 会 
话 称 之 为 company， 将 家 性 网 络 中 的 网 络 会 话 称 之 为 house， 现 
在 依次 创建 各 目的 网 络 会 话 。 


使 用 con-name 人 参数 指定 公司 所 使 用 的 网 络 会 话 名 称 
company， 然 后 依次 用 iftname 参 数 指定 本 机 的 网 卡 名 称 ( 千 万 
要 以 实际 环境 为 准 ， 不 要 照抄 书 上 的 eno16777736) ， 用 
autoconnect no 参数 设置 该 网 络 会 话 默 认 不 被 目 动 激活 ， 以 及 用 
ip4 及 gw4 参 数 手动 指定 网 络 的 耳 地 址 ; 


[root@linuxprobe ~]# nmcli connection add con-name comp 
any ifname eno16777736 
autoconnect no type ethernet ip4 192.168.10.10/24 gw4 1 


92.168.10.1 
Connection 'company' (86c71220-0057-419e-b615-38f4014cf 
dee) successfully added. 








使 用 con-name 参 数 指 定 家 性 所 使 用 的 网 络 会 话 名 称 
house。 因 为 我 们 想 从 外 部 DHCP 服 务 器 自动 获得 IP 地 址 ， 因 此 
这 里 不 需要 进行 手动 指定 。 





[root@linuxprobe ~]# nmcli connection add con-name hous 
e type ethernet ifname 
eno16777736 


Connection 'house' (44acf0a7-07e2-40b4-94ba-69ea973090f 
b) successfully added. 


在 成 功 创建 网 络 会 话 后 ， 可 以 使 用 nmdli 命 令 查 看 创建 的 
所 有 网 络 会 话 : 


[root@linuxprobe ~]# nmcli connection show 

NAME UUID TYPE DEVICE 

house 44acf@a7-07e2-40b4-94ba-69ea973090Fb 802-3 
-ethernet -- 


company 86c71220-0057-419e-b615-38f4014cfdee 802-3 
-ethernet -- 

eno16777736 ec77579b-2ced-481f-9c09-f562b321e268 802-3 
-ethernet eno16777736 





使 用 nmcli 命 令 配置 过 的 网 络 会 话 是 永久 生效 的 ， 这 样 当 
我 们 下 班 回 家 后 ， 顺 手 启 用 house 网 络 会 话 ， 网 卡 就 能 自动 通 
过 DHCP 获 取 到 IP 地 址 了 。 





[root@linuxprobe ~]# nmcli connection up house 
Connection successfully activated (D-Bus active path: / 
org/freedesktop/NetworkManager/ 
ActiveConnection/2) 

[root@linuxprobe ~]# ifconfig 
eno1677773628: flags=4163<UP,BROADCAST , RUNNING, MULTICAS 
T> mtu 1500 

inet 192.168.100.128 netmask 255.255.255.0 broadcast 1 
92.168.100.255 

inet6 fe80::20c:29ff:fec4:a409 prefixlen 64 scopeid 0x 
20«link» 

ether 00:0c:29:c4:a4:09 txqueuelen 1000 (Ethernet) 


RX packets 42 bytes 4198 (4.0 KiB) 

RX errors © dropped 6 overruns 6 frame 0 

TX packets 75 bytes 10441 (10.1 KiB) 

TX errors 6 dropped 6 overruns 0 carrier 6 collisions 
0 


lo: flags=73<UP,LOOPBACK,RUNNING> mtu 65536 

inet 127.0.0.1 netmask 255.0.0.0 

inet6 ::1 prefixlen 128 scopeid 0x10«host» 

loop txqueuelen @ (Local Loopback) 

RX packets 518 bytes 44080 (43.0 KiB) 

RX errors 6 dropped 0 overruns 6 frame 0 

TX packets 518 bytes 44080 (43.0 KiB) 

TX errors 0 dropped 0 overruns 0 carrier @ collisions 0 





如 果 大 家 使 用 的 是 虚拟 机 ， 请 把 虚拟 机 系统 的 网 卡 《〈 网 络 
Aca) 切换 成 桥接 模式 ， 如 图 9-9 所 示 。 然 后 重 局 虚拟 机 系 
统 即 可 。 








硬件 3 








设备 摘要 设备 状态 

mu AT 2 GB 已 连接 ( 〇 ) 

同 处 理 器 8 启动 时 这 接 (O) 
为 硬盘 (SCSI) 20 GB 

^JCD/DVD (SATA) 正在 使 用 文件 F:\ISO images|RHEL-s... 
Baans REME 


显示 器 自动 检测 复制 物理 网 络 连 接 状态 (p) 
© NAT 模式 (N): 用 于 共享 主机 的 IP 地 址 
© 公主 机 模式 (H): 与 主机 共享 的 专用 网 络 
O 自 定义 (U): 特定 虚拟 网 络 

VMnet0 (自动 桥接 ) 
© LAN BERL: 
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图 9-9 ”设置 虚拟 机 网 卡 的 模式 
9.1.3” 绑 定 两 块 网 卡 


一 般 来 讲 ， 生 产 环 境 必须 提供 7x24 小 时 的 网 络 传输 服务 。 
借助 于 网 卡 绑 定 技术 ， 不 仅 可 以 提高 网 络 传输 速度 ， 更 重要 的 
是 ， 还 可 以 确保 在 其 中 一 块 网 卡 出 现 故 障 时 ， 依 然 可 以 正常 所 
供 网 络 服务 。 假 设 我 们 对 两 块 网 卡 实施 了 绑 定 技术 ， 这 样 在 正 





党 工作 中 它们 会 共同 传输 数据 ， 使 得 网 络 传输 的 速度 变 得 更 
快 ; 而 且 即 使 有 一 块 网 卡 突然 出 现 了 故障 ， 另 外 一 块 网 卡 便 会 
立即 自动 项 蔡 上 去 ， 保 证 数据 传输 不 会 中 断 。 


下 面 我 们 来 看 一 下 如 何 绑 定 网 卡 。 


第 1 步 : 在 虚拟 机 系统 中 再 添加 一 块 网 卡 设 备 ， 请 确保 两 
块 网 卡 都 处 在 同一 个 网 络 连接 中 《 即 网 卡 模式 相同 ) ， 如 图 9- 
10 和 图 9-11 所 示 。 处 于 模 陈 的 网 卡 设备 才 可 以 进行 网 卡 绑 定 ， 
否则 这 两 块 网 卡 无 法 互相 传送 数据 。 
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图 9-10 在 虚拟 机 中 再 添加 一 块 网 卡 设备 


添加 硬件 向 导 m- x 


网 络 适配器 类 型 
您 要 添加 何 种 类 型 的 网 络 适 配器 ? 












网 络 连 接 

> 桥接 模式 {R): 直接 和 连接 到 物理 网 络 
复制 物理 网 络 和 连接 状态 名 ) 

D NAT tis siaaa IP 地 址 








^ BEX (C): 特定 虚拟 网 络 ESS RIE, 
VMnet0 (自动 桥接 ) 










设备 状态 
|| 启动 时 连接 (0) 
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图 9-11 ac NE 连接 中 《 即 网 卡 模式 相 
第 2 步 : 使 用 Vim 文 本 编辑 器 来 配置 网 卡 设备 的 绑 定 参 
数 。 网 卡 绑 定 的 理论 知识 类 似 于 前 面 学 习 的 RAID 硬 盘 组 ， 我 
们 需要 对 参与 绑 定 的 网 卡 设备 逐个 进行 “初始 设置 >。 需要 注意 
的 是 ， 这 些 原 本 独立 的 网 卡 设备 此 时 需要 被 配置 成 为 一 块 “ 从 
属 ” 网 卡 ， 服 务 于 “ 主 ” 网 卡 ， 不 应 该 再 有 自己 的 IP 地 址 等 信 
恩 。 在 进行 了 初始 设置 之 后 ， 它 们 就 可 以 文 持 网 卡 绑 定 。 


[root@linuxprobe ~]# vim /etc/sysconfig/network-scripts 























/ifcfg-eno16777736 
TYPE=Ethernet 
BOOTPROTO=none 
ONBOOT=yes 
USERCTL=no 
DEVICE=eno16777736 
MASTER=bond@ 
SLAVE=yes 
[root@linuxprobe ~]# vim /etc/sysconfig/network-scripts 
/ifcfg-eno33554968 
TYPE=Ethernet 
BOOTPROTO=none 
ONBOOT=yes 
USERCTL=no 
DEVICE=eno33554968 
MASTER=bond@ 
SLAVE=yes 








还 需要 将 绑 定 后 的 设备 命名 为 bond0 并 把 卫 地 址 等 信息 填 
写 进 去 ， 这 样 当 用 户 访问 相应 服务 的 时 候 ， 实 际 上 就 是 由 这 两 
块 网 卡 设备 在 共同 提供 服务 。 








[root@linuxprobe ~]# vim /etc/sysconfig/network-scripts 
/ifcfg-bonde 

TYPE=Ethernet 

BOOTPROTO=none 

ONBOOT=yes 

USERCTL=no 


DEVICE=bond@ 
IPADDR-192.168.10.10 
PREFIX-24 
DNS-192.168.10.1 

NM CONTROLLED-no 








第 3 步 : ibLinuxP sce BA Ek. LEN A RSE 
驱动 有 三 种 模式 mode0、mode1 和 mode6。 下 面 以 绑 定 两 
块 网 卡 为 例 ， 讲 解 使 用 的 情景 。 





mode0 平衡 负载 模式 ) : 平时 两 块 网 卡 均 工作 ， 且 自动 
备 援 ， 但 需要 在 与 服务 器 本 地 网 卡 相 连 的 交换 机 设备 上 进 
行 端口 聚合 来 文 持 绑 定 技术 。 

model《〈 目 动 备 援 模 式 ) : 平时 只 有 一 块 网 卡 工 作 ， 在 它 
故障 后 目 动 丛 换 为 男 外 的 网 卡 。 

mode6 平衡 负载 模式 ) : 平时 两 块 网 卡 均 工作 ， 且 自动 
备 援 ， 无 须 交 换 机 设备 提供 辅助 文 持 。 











比如 有 一 台 用 于 提供 NFS 或 者 samba 服 务 的 文件 服务 器 ， 

它 所 能 提供 的 最 大 网 络 传输 速度 为 100Mbitys， 但 是 访问 该 服务 
峰 的 用 户 数量 特别 多 ， 那 么 它 的 访问 压力 一 定 很 大 。 在 生产 环 
境 中 ， 网 络 的 可 靠 性 是 极为 重要 的 ， 而 且 网 络 的 传输 速度 也 必 
须 得 以 保证 。 针 对 这 样 的 情况 ， 比 较 好 的 选择 就 是 mode6 网 卡 
绑 定 驱动 模式 了 。 因 为 mode6 能 够 让 两 块 网 卡 同时 一 起 工作 ， 
当 其 中 一 块 网 卡 出 现 故 障 后 能 目 动 备 援 ， 且 无 需 交 换 机 设备 文 
援 ， 从 而 提供 了 可 徘 的 网 络 传输 保障 。 











下 面 使 用 Vim 文 本 编辑 咒 创 建 一 个 用 于 网 卡 绑 定 的 驱动 文 
件 ， 使 得 绑 定 后 的 bond0 网 卡 设备 能 够 文 持 绑 定 技术 





(bonding) ;同时 定义 网 卡 以 mode6 模 式 进 行 绑 定 ， 且 出 现 故 
障 时 自动 切换 的 时 间 为 100 毫 秒 。 


[root@linuxprobe ~]# vim /etc/modprobe.d/bond. conf 


alias bond6 bonding 
options bond6 miimon-100 mode=6 








第 4 步 : 重启 网 络 服务 后 网 卡 绑 定 操作 即 可 成 功 。 正 常情 
况 下 只 有 bond0 网 卡 设 备 才 会 有 IP 地 址 等 信息 : 





[root@linuxprobe ~]# systemctl restart network 
[root@linuxprobe ~]# ifconfig 

bond@: flags=5187<UP, BROADCAST , RUNNING, MASTER, MULTICAST 
> mtu 1500 

inet 192.168.10.10 netmask 255.255.255.0 broadcast 192. 


168.10.255 

inet6 fe80::20c:29ff:fe9c:637d prefixlen 64 scopeid 0x2 
O«link» 

ether 00:0c:29:9c:63:7d txqueuelen 0 (Ethernet) 

RX packets 700 bytes 82899 (80.9 KiB) 

RX errors 6 dropped 6 overruns 6 frame 6 

TX packets 588 bytes 40260 (39.3 KiB) 

TX errors 6 dropped 0 overruns 6 carrier 6 collisions 6 


eno16777736: flags=6211<UP, BROADCAST , RUNNING, SLAVE , MULT 
ICAST> mtu 1500 

ether 00:0c:29:9c:63:73 txqueuelen 1000 (Ethernet) 

RX packets 347 bytes 40112 (39.1 KiB) 

RX errors 6 dropped 6 overruns 6 frame 6 

TX packets 263 bytes 20682 (20.1 KiB) 

TX errors 6 dropped 6 overruns 6 carrier 6 collisions 6 


eno33554968: flags=6211<UP, BROADCAST , RUNNING, SLAVE , MULT 
ICAST» mtu 1500 

ether 00:0c:29:9c:63:7d txqueuelen 1000 (Ethernet) 

RX packets 353 bytes 42787 (41.7 KiB) 

RX errors 6 dropped 6 overruns 6 frame 6 

TX packets 325 bytes 19578 (19.1 KiB) 

TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0 





可 以 在 本 地 主机 执行 ping 192.168.10.10 命 令 检 查 网 络 的 连 
通 性 。 为 了 检验 网 卡 绑 定 技术 的 目 动 备 援 功能 ， 我 们 突然 在 虚 
拟 机 硬件 配置 中 随机 移 除 一 块 网 卡 设备 ， 可 以 非常 清晰 地 看 到 
网 卡 切换 的 过 程 ( 一 般 只 有 1 个 数据 丢 包 ) 。 然 后 另外 一 块 网 
卡 会 继续 为 用 户 提供 服务 。 














[root@linuxprobe ~]# ping 192.168.10.10 
PING 192.168.10.10 (192.168.10.10) 56(84) bytes of data 


64 time=0.1 
09 


bytes from 192.168.10.10: 


ms 


icmp seq-1 ttl-64 


64 
02 
64 
66 


ping: sendmsg: 


64 
65 
64 
48 
64 
42 
64 
79 


bytes from 
ms 
bytes from 
ms 


bytes from 
ms 
bytes from 
ms 
bytes from 
ms 
bytes from 
ms 


192.168.10.10: 


192.168.10.10: 


icmp seq-2 


icmp seq-3 


Network is unreachable 


192.168.10.10: 


192.168.10.10: 


192.168.10.10: 


192.168.10.10: 


icmp seq-5 
icmp seq-6 
icmp seq-7 


icmp seq-8 


ttl-64 


ttl-64 


ttl-64 


ttl-64 


ttl-64 


ttl-64 


time-0. 


time-0. 


time-0. 


time-0. 


time-0. 


time-0. 


AC 

--- 192.168.10.10 ping statistics --- 

8 packets transmitted, 7 received, 12% packet loss, tim 
e 7006ms 


rtt min/avg/max/mdev - 0.042/0.073/0.109/0.023 ms 





9.2 ”远程 控制 服务 


9.2.1 配置 sshd 服 务 


SSH (Secure Shell) 是 一 种 能 够 以 安全 的 方式 提供 远程 登 
录 的 协议 ， 也 是 目前 远程 管理 Linux 系 统 的 首选 方式 。 在 此 之 
前 ， 一 般 使 用 FTP 或 Telnet 来 进行 远程 登录 。 但 是 因为 它们 以 
明文 的 形式 在 网 络 中 传输 账户 密 ODE F, RERA 
全 ， 很 容易 受到 黑客 发 起 的 中 间 人 攻击 ， 这 轻 则 算 改 传输 的 数 
据 信 息 ， 重 则 直接 抓 取 服务 器 的 账户 密码 。 




















想 要 使 用 SSH 协 议 来 远程 管理 Linux 系 统 ， 则 需要 部 署 配 
置 sshd 服 务 程 序 。sshd 是 基于 SSH 协 议 开 发 的 一 球 远 程 管 理 服 
务 程 序 ， 不 仅 使 用 起 来 方便 快捷 ， 而 且 能 够 提供 两 种 安全 验证 
的 方法 : 








e 基于 口令 的 验证 一 一 用 账户 和 密码 来 验证 登录 ; 

e 基于 密 钥 的 验证 一 一 需要 在 本 地 生成 密 钥 对 ， 然 后 把 密 钼 
对 中 的 公 钥 上 传 至 服务 器 ， 并 与 服务 器 中 的 公 钥 进行 比 
较 ; 该 方式 相 较 来 说 更 安全 。 


前 文 曾 多 次 强调 “Linux 系 统 中 的 一 切 都 是 文件 ”， 因 此 在 
Linux 系 统 中 修改 服务 程序 的 运行 参数 ， 实 际 上 就 是 在 修改 程 








序 配置 文件 的 过 程 。sshd 服 务 的 配置 信息 保存 

在 /etc/ssh/sshd_config 文 件 中 。 运 维 人 员 一 般 会 把 保存 着 最 主要 
配置 信息 的 文件 称 为 主 配置 文件 ， 而 配置 文件 中 有 许多 以 井 号 
开头 的 注释 行 ， 要 想 让 这 些 配置 参数 生效 ， 需 要 在 修改 参数 后 
再 去 抒 前 面 的 井 号 。sshd 服 务 配 置 文件 中 包含 的 重要 参数 如 表 
9-1 所 示 。 


























表 9-1 sshd 服务 配置 文件 中 包含 的 参数 以 及 作用 


默认 的 sshd 服 务 端 口 


设 定 sshd 服 务 器 监听 的 耳 地 址 


SSH 协 议 版 本 为 1 时 ，DES 私 钥 存放 的 位 
置 


HostKey /etc/ssh/sshhostkey 


HostKey SSH 协 议 版 本 为 2 时 ， RSA 私 钥 存 放 的 位 


/etc/ssh/sshhostrsa_key 置 





HostKey SSH 协 议 版 本 为 2 时 ，DSA 私 钥 存放 的 位 


/etc/ssh/sshhostdsa_key 置 











PermitRootLogin yes 设 定 是 a 人 否 允 许 root 管 理 员 直接 登录 





StrictModes yes 当 远 程 用 户 的 私 钥 改 变 时 直接 拒绝 连接 


MaxAuthTries 6 E 尝试 次 数 


MaxSessions 10 


PasswordAuthentication yes 


PermitEmptyPasswords no 





在 RHEL 7 系统 中 ， 已 经 默认 安装 并 局 用 了 sshd 服 务 程序 。 
接 下 来 使 用 ssh 命 令 进行 远程 连接 ， 其 格式 为 “ssh [参数 ] 主机 IP 
地 址 >”。 要 退出 登录 则 执行 exit 命 令 








[root@linuxprobe ~]# ssh 192.168.10.20 
The authenticity of host '192.168.10.20 (192.168.10.20) 


can't be established. 
ECDSA key fingerprint is 4f:a7:91:9e:8d:6f:b9:48:02:32: 
61:95:48:ed:1e:3f. 


Are you sure you want to continue connecting (yes/no)? 
yes 

Warning: Permanently added '192.168.10.20' (ECDSA) to t 
he list of known hosts. 

root@192.168.10.20's password: 此 处 输入 远程 主机 root 管 理 员 
的 密码 

Last login: Wed Apr 15 15:54:21 2017 from 192.168.10.10 
[root@linuxprobe ~]# 

[root@linuxprobe ~]# exit 

logout 

Connection to 192.168.10.10 closed. 








T RA IE root’ £8 R IN Ero ore Sd Aus, WAY VA 
大 大 降低 被 黑客 暴力 破解 密码 的 几率 。 下 面 进行 相应 配置 。 首 
先 使 用 Vim 文 本 编辑 器 打开 sshd 服 务 的 主 配 置 文件 ， 然 后 把 第 
48 行 #PermitRootLogin yes 参 数 前 的 井 号 〈#) 去 掉 ， 并 把 参数 
值 yes 改 成 no， 这 样 就 不 再 允许 root 管 理 员 远程 登录 了 。 记 得 最 
后 保存 文件 并 退出 。 

















[root@linuxprobe ~]# vim /etc/ssh/sshd_config 
省 略 部 分 输出 信息 


#LoginGraceTime 2m 
PermitRootLogin no 
#StrictModes yes 
#MaxAuthTries 6 
#MaxSessions 10 





^ Wet HE 77-489 E ei 





再 次 提醒 的 是 ， 一 般 的 服务 程序 并 不 会 在 配置 文件 修改 之 
后 立即 获得 最 新 的 参数 。 如 果 想 让 新 配置 文件 生效 ， 则 需要 手 
动 重 局 相应 的 服务 程序 。 最 好 也 将 这 个 服务 程序 加 入 到 开机 局 
动 项 中 ， 这 样 系统 在 下 一 次 月 动 时 ， 该 服务 程序 便 会 目 动 运 
行 ， 继 续 为 用 户 提供 服务 。 


[root@linuxprobe ~]# systemctl enable sshd 

这 样 一 来 ， 当 root 管 理 员 再 来 尝试 访问 sshd 服 务 程序 时 ， 
系统 会 提示 不 可 访问 的 错误 信息 。 虽 然 sshd 服 务 程序 的 参数 相 
对 比较 简单 ， 但 这 就 是 在 Linux 系 统 中 配置 服务 程序 的 正确 方 
法 。 大 家 要 做 的 是 举一反三 、 活 学 活用 ， 这 样 即 便 以 后 遇 到 了 
陌生 的 服务 ， 也 一 样 可 以 搞定 了 。 




















[root@linuxprobe ~]# ssh 192.168.16.16 
root@192.168.10.10's password: 此 处 输入 远程 主机 root 管 理 员 


的 密码 


Permission denied, please try again. 





9.2.2 ”安全 密 钥 验证 

加 密 是 对 信息 进行 编码 和 解码 的 技术 ， 它 通过 一 定 的 算法 
( 密 钥 ) 将 原本 可 以 直接 阅读 的 明文 信息 转换 成 密 文 形 式 。 密 
钥 即 是 密 文 的 钥匙 ， 有 私 钥 和 公 钥 之 分 。 在 传输 数据 时 ， 如 果 
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密 处 理 ， 然 后 再 行 传送 。 这 样 ， 只 有 车 握 私 钥 的 用 户 才 能 解密 
这 段 数据 ， 除 此 之 外 的 其 他 人 即便 截获 了 数据 ， 一 般 也 很 难 将 
其 破译 为 明文 信息 。 














一 言 以 蔽 之 ， 在 生产 环境 中 使 用 密码 进行 口令 验证 终归 存 
在 着 被 暴力 破解 或 嗅 探 截获 的 风险 。 如 果 正 确 配 置 了 密 钥 验证 
方式 ， 那 么 sshd 服 务 程序 将 更 加 安全 。 我 们 下 面 进行 具体 的 配 
置 ， 其 步骤 如 下 。 











第 1 步 : 在 客户 端 主 机 中 生成 “ 密 钥 对 ”。 





[root@linuxprobe ~]# ssh-keygen 

Generating public/private rsa key pair. 

Enter file in which to save the key (/root/.ssh/id_rsa): 
按 回 车 键 或 设置 密 钥 的 存储 路 径 

Created directory '/root/.ssh'. 

Enter passphrase (empty for no passphrase): 直接 按 回 车 键 


或 设置 密 钥 的 密码 
Enter same passphrase again: 再 次 按 回 车 键 或 设置 密 钥 的 密码 
Your identification has been saved in /root/.ssh/id_rsa 





Your public key has been saved in /root/.ssh/id_rsa.pub 


The key fingerprint is: 
40:32:48:18:e4:ac:c0:c3:c1:ba:7c:6c:3a:a8:b5:22 root@li 
nuxprobe.com 

The key's randomart image is: 

+--[ RSA 2048]----+ 

| OL 5 | 








第 2 步 : 把 客户 端 主 机 中 生成 的 公 钥 文件 传送 至 远程 主 
Bl: 


[root@linuxprobe ~]# ssh-copy-id 192.168.10.10 

The authenticity of host '192.168.10.20 (192.168.10.10) 
' can't be established. 

ECDSA key fingerprint is 4f:a7:91:9e:8d:6f:b9:48:02:32: 
61:95:48:ed:1e:3f. 

Are you sure you want to continue connecting (yes/no)? 
yes 

/usr/bin/ssh-copy-id: INFO: attempting to log in with t 
he new key(s), to filter 

out any that are already installed 
/usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be insta 
lled -- if you are 

prompted now it is to install the new keys 
root@192.168.10.10's password: 此 处 输入 远程 服务 器 密码 
Number of key(s) added: 1 

Now try logging into the machine, with: "ssh '192.168.1 
0.10'" 

and check to make sure that only the key(s) you wanted 
were added. 








第 3 步 : 对 服务 器 进行 设置 ， 使 其 只 允许 密 钥 验 证 ， 拒 绝 
传统 的 口令 验证 方式 。 记 得 在 修改 配置 文件 后 保存 并 重 局 sshd 
服务 程序 。 





[root@linuxprobe ~]# vim /etc/ssh/sshd_config 
省 略 部 分 得 出 信息 .pe 


75 # To disable tunneled clear text passwords, change 
to no here! 

76 #PasswordAuthentication yes 

77 #PermitEmptyPasswords no 

78 PasswordAuthentication no 


省 略 部 分 得 出 信息 .pe 
[root@linuxprobe ~]# systemctl restart sshd 








第 4 步 : EAP mA ARKAE m. UCI DCAD A AS 
也 可 成 功 登 录 。 


[root@linuxprobe ~]# ssh 192.168.10.10 


Last login: Mon Apr 13 19:34:13 2017 





9.23 ”远程 传输 命令 


scp (secure copy) 是 一 个 基于 SSH 协 议 在 网 络 之 间 进 行 安 
全 传输 的 命令 ， 其 格式 为 “scp [参数 ] 本 地 文件 远程 帐户 @ 远 程 
IP 地 址 :远程 目录 ”。 


与 第 2 章 讲解 的 cp 命令 不 同 ，cp 命 令 只 能 在 本 地 硬盘 中 进 
行文 件 复 制 ， 而 scp 不 仅 能 够 通过 网 络 传送 数据 ， 而 且 所 有 的 
数据 都 将 进行 加 密 处 理 。 例 如 ， 如 果 想 把 一 些 文件 通过 网 络 从 
一 台 主 机 传递 到 其 他 主机 ， 这 两 台 主机 又 恰巧 是 Linux 系 统 ， 

这 时 使 用 scp 命 令 就 可 以 轻松 完成 文件 的 传递 了 。scp 命 令 中 可 
用 的 参数 以 及 作用 如 表 9-2 所 示 。 


scp 命 令 中 可 用 的 参数 及 作用 











显示 详细 的 连接 进度 


| 肯定 远程 主机 的 sshd 端 口号 


用 于 传送 文件 夹 
使 用 IPv6 协 议 


在 使 用 scp 命 令 把 文件 从 本 地 复制 到 远程 主机 时 ， 首 先 需 
要 以 绝对 路 径 的 形式 写 清 本 地 文件 的 存放 位 置 ， 如 果 要 传送 整 
个 文件 夹 内 的 所 有 数据 ， 还 需要 额外 添加 参数 -r 进 行 递归 操 








作 。 然 后 写 上 要 传送 到 的 远程 主机 的 IP 地 址 ， 远 程 服务 器 便 会 
要 求 进行 身份 验证 了 。 当 前 用 户 名 称 为 root， 而 密码 则 为 远程 
服务 器 的 密码 。 如 果 想 使 用 指定 用 户 的 身份 进行 验证 ， 可 使 用 
用 户 名 @ 主 机 地 址 的 参数 格式 。 最 后 需要 在 远程 主机 的 也 地 址 
后 面 添 加 冒号 ， 并 在 后 面 写 上 要 传送 到 远程 主机 的 哪个 文件 夹 
中 。 只 要 参数 正确 并 且 成 功 验证 了 用 户 身份 ， 即 可 开始 传送 工 
作 。 由 于 scp 命 令 是 基于 SSH 协 议 进 行文 件 传送 的 ， 而 9.2.2 小 
节 又 设置 好 了 密 钥 验证 ， 因 此 当前 在 传输 文件 时 ， 并 不 需要 账 
户 和 密码 。 
































[root@linuxprobe ~]# echo "Welcome to LinuxProbe.Com" > 
readme.txt 

[root@linuxprobe ~]# scp /root/readme.txt 192.168.10.20 
: /home 


root@192.168.10.20's password: 此 处 输入 远程 服务 器 中 root 管 
理 员 的 密码 
readme.txt 100% 26 0.0KB/s 00:00 





此 外 ， 还 可 以 使 用 scp 命 令 把 远程 主机 上 的 文件 下 载 到 本 
地 主机 ， 其 命令 格式 为 “scp [参数 ] 远程 用 户 @ 远 程 卫 地 址 :远程 
文件 本 地 目录 ”。 例 如 ， 可 以 把 远程 主机 的 系统 版 本 信息 文件 
下 载 过 来 ， 这 样 就 无 须 先 登录 远程 主机 ， 再 进行 文件 传送 了 ， 
也 就 省 去 了 很 多 周折 。 


[root@linuxprobe ~]# scp 192.168.10.20:/etc/redhat-rele 
ase /root 





root@192.168.10.20's password: 此 处 输入 远程 服务 器 中 root 管 
理 员 的 密码 

redhat-release 100% 52 0.1KB/s 00:00 

[rootglinuxprobe ~]# cat redhat-release 

Red Hat Enterprise Linux Server release 7.0 (Maipo) 





9.3 AAW TEARS 








大 家 在 学 习 sshd 服 务 时 ， 不 知 有 没有 注意 到 这 样 一 个 事 
Hi: 当 与 远程 主机 的 会 话 被 关闭 时 ， 在 远程 主机 上 运行 的 命令 
也 随 之 被 中 断 。 











如 果 我 们 正在 使 用 命令 来 打包 文件 ， 或 者 正在 使 用 脚本 安 
装 东 个 服务 程序 ， 中 途 是 绝对 不 能 关闭 在 本 地 打开 的 终端 窗口 
或 断 开 网 络 链接 的 ， 甚 至 是 网 速 的 波动 都 有 可 能 导致 任务 中 
断 ， 此 时 只 能 重新 进行 远程 链接 并 重新 开始 任务 。 还 有 些 时 
候 ， 我 们 正在 执行 文件 打包 操作 ， 同 时 又 想 用 脚本 来 安装 茶 个 
服务 程序 ， 这 时 会 因为 打包 操作 的 输出 信息 占 满 用 户 的 屏幕 界 
面 ， 而 只 能 再 打开 一 个 执行 远程 会 话 的 终端 窗口 ， 时 间 久 了 ， 
难免 会 态 记 这 些 打开 的 终端 窗口 是 做 什么 用 的 了 。 









































screen 是 一 球 能 够 实现 多 窗口 远程 控制 的 开源 服务 程序 ， 
简单 来 说 束 是 为 了 解决 网 络 异 常 中 断 或 为 了 同时 控制 多 个 远程 
终端 窗口 而 设计 的 程序 。 用 户 还 可 以 使 用 screen 服 务 程序 同时 
在 多 个 远程 会 话 中 自由 切换 ， 能 够 做 到 实现 如 下 功能 。 

















。 会 话 恢 复 : 即便 网 络 中 断 ， 也 可 让 会 话 随时 恢复 ， 确 保 用 
户 不 会 失去 对 远程 会 话 的 控制 。 
。 多 窗口 : 每 个 会 话 都 是 独立 运行 的 ， 拥 有 各 上 自 独 立 的 输入 











输出 终端 窗口 ， 终 端 窗口 内 显示 过 的 信息 也 将 被 分 开 隔离 
保存 ， 以 便 下 次 使 用 时 依然 能 看 到 之 前 的 操作 记录 。 

e SKE: 当 多 个 用 户 同时 登录 到 远程 服务 费时 ， 便 可 以 
使 用 会 话 共 这 功能 让 用 户 之 间 的 输入 输出 信息 共有 至 。 











在 RHEL 7 系统 中 ， 没 有 默认 安装 Screen 服务 程序 ， 因 此 需 
要 配置 Yum 仓 库 来 安装 它 。 首 先 将 虚拟 机 的 CD/IDVD 光 一 选项 
设置 为 “使 用 ISO 镜像 文件 ”， 并 选择 已 经 下 载 好 的 系统 镜像 ， 
如 图 9-12 所 示 。 
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图 9-12 ”将 虚拟 机 的 光盘 设备 指向 ISO 镜像 
然后 ， 把 光盘 设备 中 的 系统 镜像 挂 载 到 /media/cdrom H 





录 。 


[root@linuxprobe ~]# mkdir -p /media/cdrom 


[root@linuxprobe ~]# mount /dev/cdrom /media/cdrom 
mount: /dev/sr6 is write-protected, mounting read-only 





最 后 ， 使 用 Vim 文 本 编辑 器 创建 Yum 仓 库 的 配置 文件 。 下 
述 命令 中 用 到 的 具体 参数 的 含义 ， 可 参考 4.1.4 小 节 。 


[root@linuxprobe ~]# vim /etc/yum.repos.d/rhel7.repo 
[rhel7 ] 
name=rhel7 


baseurl=file:///media/cdrom 
enabled=1 
gpgcheck=0 








现在 ， 就 可 以 使 用 Yum 仓 库 来 安装 Screen 服务 程序 了 。 人 简 
捷 起 见 ， 刘 租 老 师 将 对 后 面 章节 中 出 现 的 Yum 软 件 安装 信息 进 
行 过 滤 一 一 把 重复 性 高 及 无 意义 的 非 必要 信息 省 略 。 




















[root@linuxprobe ~]# yum install screen 
Loaded plugins: langpacks, product-id, subscription-man 


ager 
This system is not registered to Red Hat Subscription M 
anagement. You can use 

subscription-manager to register. 

rhel | 4.1 kB 00:00 

Resolving Dependencies 

--» Running transaction check 

---» Package screen.x86 64 0:4.1.0-0.19.20120314git3c29 
46.e17 will be installed 

--» Finished Dependency Resolution 

Dependencies Resolved 


Package Arch Version Repository 
Size 


Installing: 

screen x86 64 4.1.0-0.19.20120314git3c2946.e17 rhel 55 
1k 
Transaction Summary 


Install 1 Package 
Total download size: 551 k 

Installed size: 914 k 

Is this ok [y/d/N]: y 
Downloading packages: 
Running transaction check 
Running transaction test 
Transaction test succeeded 
Running transaction 

Installing : screen-4.1.0-0.19.20120314git3c2946.e17.x 
86 64 1/1 

Verifying : screen-4.1.0-0.19.20120314git3c2946.e17.x8 
6 64 1/1 
Installed: 


screen.x86 64 0:4.1.0-0.19.20120314git3c2946.e17 
Complete! 





93.1 ”管理 远程 会 话 


screen 命 令 能 做 的 事情 非常 多 : 可 以 用 -S 参 数 创 建 会 话 窗 
口 ; 用 -d 参 数 将 指定 会 话 进行 离线 处 理 ， 用 -r 参 数 回 复 指 定 会 
th; 用 -x 参数 一 次 性 恢复 所 有 的 会 话 ; 用 -ls 参数 显示 当前 已 有 
的 会 话 ;， 以 及 用 -wipe 人 参数 把 目前 无 法 使 用 的 会 话 删 除 ， 等 


VAY. 
等 。 














下 面 创建 一 个 名 称 为 backup 的 会 话 窗口 。 请 各 位 读者 留心 
观察 ， 当 在 命令 行 中 融 下 这 条 命令 的 一 瞬间 ， 屏 硕 会 快速 闪 动 
一 下 ， 这 时 就 已 经 进入 screen 服 务 会 话 中 了 ， 在 里 面 运行 的 任 
何 操作 都 会 被 后 台 记 录 下 来 。 


[root@linuxprobe ~]# screen -S backup 
[root@linuxprobe ~]# 

SAAT Ait Je m LBBRIBIT SEAN FT © BAA ERSA 25 
有 不 同 ， 但 实际 上 可 以 查看 到 当前 的 会 话 正在 工作 中 。 




















[root@linuxprobe ~]# screen -ls 
There is a screen on: 


32230.backup (Attached) 
1 Socket in /var/run/screen/S-root. 





要 想 退 出 一 个 会 话 也 十 分 简单 ， 只 需 在 命令 行 中 执行 exit 


[root@linuxprobe ~]# exit 
[screen is terminating] 


在 日 党 的 生产 环境 中 ， 其 实 并 不 是 必须 先 创建 会 话 ， 然 后 
再 开始 工作 。 可 以 直接 使 用 screen 命 令 执行 要 运行 的 命令 ， 这 
样 在 命令 中 的 一 切 操作 也 都 会 被 记录 下 来 ， 当 命令 执行 结束 后 
Screen 会 话 也 会 自动 结束 。 











[root@linuxprobe ~]# screen vim memo.txt 
welcome to linuxprobe.com 


为 了 演示 Screen 不 间断 会 话 服务 的 强大 之 处 ， 我 们 先 来 创 
谴 一 个 名 为 linux 的 会 话 ， 然 后 强行 把 窗口 关闭 挥 〈( 这 与 进行 远 
程 连接 时 突然 断 网 具有 相同 的 效果 ) : 











[root@linuxprobe ~]# screen -S linux 

[root@linuxprobe ~]# 

[root@linuxprobe ~]# tail -f /var/log/messages 

Feb 20 11:20:01 localhost systemd: Starting Session 2 o 

f user root. 

Feb 20 11:20:01 localhost systemd: Started Session 2 of 
user root. 

Feb 20 11:21:19 localhost dbus-daemon: dbus[1124]: [sys 

tem] Activating service 

name-'com.redhat.SubscriptionManager' (using servicehel 

per) 

Feb 20 11:21:19 localhost dbus[1124]: [system] Activati 

ng service name-'com. 

redhat.SubscriptionManager' (using servicehelper) 

Feb 20 11:21:19 localhost dbus-daemon: dbus[1124]: [sys 

tem] Successfully activated 

service 'com.redhat.SubscriptionManager' 

Feb 20 11:21:19 localhost dbus[1124]: [system] Successf 
ully activated service ‘com. 

redhat. SubscriptionManager' 

Feb 20 11:30:01 localhost systemd: Starting Session 3 o 

f user root. 

Feb 20 11:30:01 localhost systemd: Started Session 3 of 
user root. 

Feb 20 11:30:43 localhost systemd: Starting Cleanup of 
Temporary Directories... 


Feb 26 11:30:43 localhost systemd: Started Cleanup of T 
emporary Directories. 


由 于 刚才 关闭 了 会 话 窗口 ， 这 样 的 操作 在 传统 的 远程 控制 
中 一 定 会 导致 正在 运行 的 命令 也 突然 终止 ， 但 在 Screen 不 间断 
会 话 服务 中 则 不 会 这 样 。 我 们 只 需 查 看 一 下 刚刚 离线 的 会 话 名 
称 ， 然 后 答 试 恢复 回来 就 可 以 继续 工作 了 : 























[root@linuxprobe ~]# screen -ls 
There is a screen on: 

13469.1inux (Detached) 
1 Socket in /var/run/screen/S-root. 

[root@linuxprobe ~]# screen -r linux 

[root@linuxprobe ~]# 

[root@linuxprobe ~]# tail -f /var/log/messages 

Feb 20 11:20:01 localhost systemd: Starting Session 2 o 
f user root. 

Feb 20 11:20:01 localhost systemd: Started Session 2 of 
user root. 

Feb 20 11:21:19 localhost dbus-daemon: dbus[1124]: [sys 
tem] Activating service 
name-'com.redhat.SubscriptionManager' (using servicehel 
per) 

Feb 20 11:21:19 localhost dbus[1124]: [system] Activati 
ng service name-'com. 

redhat.SubscriptionManager' (using servicehelper) 

Feb 20 11:21:19 localhost dbus-daemon: dbus[1124]: [sys 
tem] Successfully 

activated service 'com.redhat.SubscriptionManager' 

Feb 20 11:21:19 localhost dbus[1124]: [system] Successf 
ully activated service 

'com.redhat.SubscriptionManager' 


Feb 20 11:30:01 localhost systemd: Starting Session 3 o 

f user root. 

Feb 20 11:30:01 localhost systemd: Started Session 3 of 
user root. 

Feb 20 11:30:43 localhost systemd: Starting Cleanup of 
Temporary Directories... 

Feb 20 11:30:43 localhost systemd: Started Cleanup of T 

emporary Directories. 

Feb 20 11:40:01 localhost systemd: Starting Session 4 o 

f user root. 


Feb 20 11:40:01 localhost systemd: Started Session 4 of 
user root. 














如 条 我 们 突然 又 想到 了 还 有 其 他 事情 需要 处 理 ， 也 可 以 多 
创建 几 个 会 话 窗口 放 在 一 起 使 用 。 如 果 这 段 时 间 内 不 再 使 用 某 
个 会 话 窗 口 ， 可 以 把 它 设 置 为 临时 断 开 《detach) 模式 ， 随 后 
在 需要 时 再 重新 连接 Cattach) 回来 即 可 。 这 段 时 间 内 ， 在 会 
话 窗 口内 运行 的 程序 会 继续 执行 。 




















9.3.2 ”会 话 共 邓 功能 


Screen 命令 不 仅 可 以 确保 用 户 在 极端 情况 下 也 不 丢失 对 系 
统 的 远程 控制 ， 保 证 了 生产 环境 中 远程 工作 的 不 间断 性 ， 而 且 
它 还 具有 会 话 共享 、 分 屏 切 制 、 会 话 锁定 等 实用 的 功能 。 其 
中 ， 会 话 共享 功能 是 一 件 很 酶 的 事情 ， 当 多 个 用 户 同 时 控制 主 
机 的 时 候 ， 它 可 以 把 屏 秦 内 容 共 享 出 来 ， 也 就 是 说 每 个 用 户 都 
可 以 看 到 相同 的 内 容 。 





























screen 的 会 话 共 享 功能 的 流程 拓扑 如 图 9-13 所 示 。 





第 1 步 : 创建 会 话 


screen -S linuxprobe 





第 2 步 : 同步 终端 信息 
screen -X 







RHEL 7 系统 


Al9-13 ”会 话 共 训 功能 的 流程 拓扑 








要 实现 会 话 共享 功能 ， 首 先 使 用 ssd 服 务 程序 将 终端 4 远程 
连接 到 服务 器 ， 并 创建 一 个 会 话 窗口 。 





[root@client A ~]# ssh 192.168.10.10 
The authenticity of host '192.168.10.10 (192.168.10.10) 


can't be established. 

ECDSA key fingerprint is 70:3b:5d:37:96:7b:2e:a5:28:0d: 
7e:dc:47:6a:fe:5c. 

Are you sure you want to continue connecting (yes/no)? 

yes 

Warning: Permanently added '192.168.10.10' (ECDSA) to t 
he list of known hosts. 


root@192.168.10.10's password: 此 处 输入 root 管 理 员 密 码 
Last login: Wed May 4 67:56:29 2017 

[root@client A ~]# screen -S linuxprobe 

[root@client A ~]# 











然后 ， 使 用 ssh 服 务 程 序 将 终端 B 远 程 连接 到 服务 器 ， 并 执 
行 获取 远程 会 话 的 命令 。 接 下 来 ， 两 台 主 机 残 能 看 到 相同 的 内 
容 了 。 


[root@client B ~]# ssh 192.168.10.10 

The authenticity of host '192.168.10.10 (192.168.10.10) 
' can't be established. 

ECDSA key fingerprint is 70:3b:5d:37:96:7b:2e:a5:28:0d: 
7e:dc:47:6a:fe:5c. 


Are you sure you want to continue connecting (yes/no)? 
yes 


Warning: Permanently added '192.168.10.10' (ECDSA) to t 
he list of known hosts. 

root@192.168.10.10's password: 此 处 输入 root 管 理 员 密 码 
Last login: Wed Feb 22 64:55:38 2017 from 192.168.10.10 
[root@client B ~]# screen -x 

[root@client B ~] 





F A 


1. 在 Linux 系 统 中 有 多 种 方法 可 以 配置 网 络 参 数 ， 请 列举 
几 种 。 


: 配置 网 卡 参数 可 以 使 用 nmtui 命 令 、nmcli 命 令 或 者 直 
E 








2. 在 RHEL 7 系统 中 使 用 网 卡 会 话 技术 的 目的 是 什么 ? 








答 : 使 用 nmcli 命 令 来 管理 网 卡 会 话 的 目的 是 为 了 快速 切 
换 网 卡 参数 ， 以 便 适 应 不 同 的 工作 场景 。 


3. 请 简 述 网 卡 绑 定 技术 mode6 模 式 的 特点 。 





A. 平时 两 块 网 卡 均 工 作 ， 且 自动 备 援 ， 无 须 交 换 机 设备 
提供 辅助 支持 。 


4. 在 Linux 系 统 中 ， oe NOU 中 的 参数 来 配 
置 服务 程序 时 ， 知 想 要 让 新 配置 的 参数 生效 ， 还 需要 执行 什么 
操作 ? 








AR: 需要 重新 局 动 相关 的 服务 程序 ， 或 让 服务 程序 重新 加 
载 配 置 文件 ， 或 重 局 系统 。 


5. sshd 服 务 的 口令 验证 与 密 钥 验 证 方式 ， 哪 个 更 安全 ? 








x. 一 般 情 况 下 ， 密 钥 验 证 方式 更 加 安全 。 若 用 户 若 认证 
有 更 高 的 安全 需求 ， 还 可 以 再 对 密 钥 文件 进行 口令 加 密 ， 从 而 
实现 双重 加 密 。 





6. 想 要 把 本 地 文件 /root/out.txt 传 送 到 地 址 为 
192.168.10.20 的 远程 主机 的 /home 目 录 下 ， 且 本 地 主机 与 远程 
主机 均 为 Linux 系 统 ， 最 为 简便 的 传送 方式 是 什么 ? 








答 : 执行 命令 scp /root/out.txt root@192.168.10.20:/home， 
并 在 进行 口令 验证 后 即 可 开始 传送 。 


7. 请 简 述 配置 Yum 仓 库 的 步骤 。 





B: 首先 应 该 创建 挂 载 目 录 并 把 光盘 镜像 文件 与 其 天 联 ， 
然后 修改 Yum 的 配置 文件 ， 填 写 入 相关 参数 ， 尤 其 需要 注意 挂 
载 目 录 的 存放 路 和 从 要 正确 无 误 ， 最 后 便 可 使 用 Yum 命 令 来 安装 
相关 的 服务 程序 了 。 

















8. screen 服 务 程 序 能 够 让 用 户 实 现 远程 控制 的 不 间断 会 
话 服务 ， 即 便 网 络 发 生 中 断 也 不 丢失 对 远程 主机 的 会 话 控制 。 
那么 ， 当 想 要 恢复 到 一 个 名 为 linux 的 会 话 窗口 时 ， 应 该 怎么 做 
呢 ? 





screen -r linux 即 可 恢复 到 这 个 会 话 窗 口中 。 


: 执行 命 


ZX 
A 





第 10 章 ”使 用 Apache 服 务 部 署 静 态 网 站 








网 站 服务 程序 ; 


配置 服务 文件 参数 ; 


e SELinux 安 全 子 系统 ; 
。 个 人 用 户主 页 功能 ; 


。 虚拟 主机 功能 ; 





Apache 的 访问 控制 。 








本 章 先 向 读者 科普 什么 是 web 服 务 程 序 ， 以 及 Web 服 务 程 





序 的 用 处 ， 然 后 通过 对 比 当 前 主流 的 web 服务 程序 来 使 读者 更 
好 地 理解 其 各 上 自 的 优势 及 特点 ， 最 后 通过 对 httpd 服 务 程序 

中 “全 局 配置 参数 "、“ 区 域 配 置 参 数 ” 及 “注释 信息 ”的 理论 讲解 
和 实战 部 署 ， 确 保 读者 学 会 Web 服 务 程序 的 配置 方法 ， 并 真正 
掌握 在 Linux 系 统 中 配置 服务 的 技巧 。 








Kit 老师 还 会 在 本 章 讲解 SELinux 服 务 的 作用 、 三 种 工作 


模 陈 以 及 党 略 管理 方法 ， 确 保 读 者 掌握 SELinux 域 和 SELinux 安 
全 上 下 文 的 配置 方法 ， 并 依次 完成 多 个 基于 httpd 服 务 程 序 实用 
功能 的 部 壮实 验 ， 其 中 包括 httpd 服 务 程序 的 基本 部 着 、 个 人 用 
户主 页 功能 和 口令 加 密 认 证 方式 的 实现 ， 以 及 分 别 基于 了 地 
址 、 主 机 名 域名 〉、 端 口号 部 署 虚拟 主机 网 站 功能 。 














10.1 网 站 服务 程序 





1970 年 ， 作 为 互联 网 前 身 的 ARPANET( 阿 帕 网 ) CWA 
纵 形 ， 并 开始 向 非 军 用 部 门 开 放 ， 许 多 大 学 和 商业 部 门 开 始 接 
入 。 虽 然 彼 时 阿 帕 网 的 规模 〈 只 有 4 台 主 机 联网 运行 ) 还 不 如 
现在 的 局 域 网 成 熟 ， 但 是 它 依然 为 网 络 技术 的 进步 打下 了 扎实 
的 基础 。 














想必 我 们 大 多 数 人 都 是 通过 访问 网 站 而 开始 接触 互联 网 的 
吧 。 我 们 平时 访问 的 网 站 服务 就 是 web 网 络 服务 ， 一 般 是 指 允 
许 用 户 通 过 浏览 器 访问 到 互联 网 中 各 种 资源 的 服务 。 如 图 10-1 
所 示 ，Web 网 络 服务 是 一 种 被 动 访问 的 服务 程序 ， 即 只 有 接收 
到 互联 网 中 其 他 主机 发 出 的 请 求 后 才 会 啊 应 ， 最 终 用 于 提供 服 
务 程序 的 Web 服 务 器 会 通过 HTTP 〈 超 文本 传输 协议 ) 或 
HTTPS《〈 安 全 超 文本 传输 协议 ) 把 请 求 的 内 容 传 送 给 用 户 。 





























目前 能 够 提供 Web 网 络 服 务 的 程序 有 IIS、Nginx 和 Apache 
等 。 其 中 ，IIS (internet Information Services， 互 联网 信息 服 
务 ) 是 Windows 系 统 中 默认 的 Web 服 务 程序 ， 这 是 一 球 图 形 化 
的 网 站 管理 工具 ， 不 仅 可 以 提供 Web 网 站 服务 ， 还 可 以 提供 
FTP、NMTP、SMTP 等 服务 。 但 是 ，IIS 只 能 在 Windows 系 统 
中 使 用 ， 而 我 们 这 本 书 的 名 字 是 《Linux 就 该 这 么 学 》， 所 以 
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向 服务 器 发 出 Web 请 求 
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浏览 器 将 文档 传送 给 客户 浏览 器 





网 站 服务 器 
图 10-1 主机 与 Web 服 务 器 之 间 的 通信 





2004 年 10 月 4 日 ， 为 俄罗斯 知名 门户 站 点 而 开发 的 Web 服 
务 程序 Nginx 横 空 出 世 。Nginx 程 序 作 为 一 球 轻 量 级 的 网 站 服务 
软件 ， 因 其 稳定 性 和 丰富 的 功能 而 快速 占领 服务 器 市 场 ， 但 
Nginx 最 被 认可 的 还 当 是 系统 资源 消耗 低 且 并 发 能 力 强 ， 因 此 
得 到 了 国内 诸如 新 浪 、 网 易 、 腾 讯 等 门户 站 的 青睐 。 本 书 将 在 
第 20 章 讲解 Nginx 服 务 程序 。 











Apache 程 序 是 目前 拥有 很 高 市 场 占 有 率 的 Web 服 务 程序 之 
-， 其 器 平台 和 安全 性 广泛 被 认可 且 拥 有 快速 、 可 靠 、 简 单 的 
API 扩 展 。 图 10-2 所 示 为 Apache 服 务 基金 会 的 著名 Logo， 它 的 
名 字 取 自 美国 印第安 人 的 土著 语 ， 寅 意 着 拥有 高 超 的 作战 策略 
和 无 穷 的 耐性 。Apache 服 务 程序 可 以 运行 在 Linux 系 统 、 
UNIX 系 统 甚 至 是 Windows 系 统 中 ， 文 持 基于 IP、 域 名 及 端口 
号 的 虚拟 主机 功能 ， 文 持 多 种 认证 方式 ， 集 成 有 代理 服务 器 模 
块 、 安 全 Socket 层 (SSL) ， 能 够 实时 监视 服务 状态 与 定制 日 
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Apache 程 序 是 在 RHEL 5、6、7 系 统 的 默认 Web 服 务 程序 ， 其 相关 
| 知识 点 一 直 也 是 RHCSA 和 RHCE 认 证 考试 的 重点 内 容 。 


we Apache 
Software Foundation 


Community-led development since 1999. 














110-2 Apache 软件 基金 会 著名 的 Logo 





总 结 来 说 ，Nginx 服 务 程 序 作 为 后 起 之 秀 ， 己 经 通过 自身 
的 优势 与 努力 局 得 了 大 批 站 长 的 信赖 。 本 书 配套 的 在 线 学 习 站 
点 http:/www.linuxprobe.com 就 是 基于 Nginx 服 务 程 序 部 署 的 ， 
不 得 不 说 Nginx 也 真 的 很 棒 ! 





但 是 ，Apache 程 序 作 为 老牌 的 Web 服 务 程 序 ， 一 方面 在 
Web 服 务 器 软件 市 场 具 有 相当 高 的 占有 率 ， 另 一 方面 Apache 也 
是 RHEL 7 系统 中 默认 的 Web 服 务 程序 ， 而 且 还 是 RHCSA 和 
RHCE 认 证 考试 的 必 考 内 容 ， 因 此 无 论 从 实际 应 用 角度 还 是 从 
应 对 红 帽 认证 考试 的 角度 ， 我 们 都 有 必要 好 好 学 习 Apache 服 务 














程序 的 部 署 ， 并 深入 挖掘 其 可 用 的 丰富 功能 。 


第 1 步 : 把 光盘 设备 中 的 系统 镜像 挂 载 到 /media/cdrom H 
录 。 


[root@linuxprobe ~]# mkdir -p /media/cdrom 


[root@linuxprobe ~]# mount /dev/cdrom /media/cdrom 
mount: /dev/sr@ is write-protected, mounting read-only 





第 2 步 : 使 用 Vim 文 本 编辑 器 创建 Yum 仓 库 的 配置 文件 ， 
下 述 命 令 中 具体 参数 的 含义 可 参考 4.1.4 小 市 。 


[root@linuxprobe ~]# vim /etc/yum.repos.d/rhel7.repo 
[rhel7 ] 

name=rhel7 

baseurl=file:///media/cdrom 

enabled=1 

gpgcheck=0 





第 3 步 : 动手 安装 Apache 服 务 程序 。 注 意 ， 使 用 yum 命 令 
进行 安装 时 ， 跟 在 命令 后 面 的 Apache 服 务 的 软件 包 名 称 大 
httpd。 如 果 直 接 执行 yum install apache 命 令 ， 则 系统 会 报错 。 





[root@linuxprobe ~]# yum install httpd 

Loaded plugins: langpacks, product-id, subscription-man 
ager 

hr Mos 省 略 部 分 输出 信 sss 


Dependencies Resolved 


Installing: 

httpd x86 64 2.4.6-17.e17 rhel 1.2 M 
Installing for dependencies: 

apr x86 64 1.4.8-3.e17 rhel 103 k 
apr-util x86 64 1.5.2-6.e17 rhel 92 k 
httpd-tools x86 64 2.4.6-17.e17 rhel 77 k 
mailcap noarch 2.1.41-2.e17 rhel 31 k 
Transaction Summary 


Install 1 Package (+4 Dependent packages) 
Total download size: 1.5 M 


Installed size: 4.3 M 
Is this ok [y/d/N]: y 
Downloading packages: 


I" 省 略 部 分 输出 信 sss 
Complete! 











第 4 步 : 局 用 httpd 服 务 程 序 并 将 其 加 入 到 开机 局 动 项 中 ， 
使 其 能 够 随 系统 开机 而 运行 ， 从 而 持续 为 用 户 提供 Web 服 务 : 








[root@linuxprobe ~]# systemctl start httpd 
[root@linuxprobe ~]# systemctl enable httpd 


In -s '/usr/lib/systemd/system/httpd.service' '/etc/sys 
temd/system/multi-user. 
target.wants/httpd.service' 





大 家 在 浏览 器 (这 里 以 Firefox 浏 览 器 为 例 ) 的 地 址 栏 中 输 


入 http:/V127.0.0.1 并 按 回 车 键 ， 就 可 以 看 到 用 于 提供 Web 服 务 的 
httpd 服 务 程序 的 默认 页 面 了 ， 如 图 10-3 所 示 。 


[root@linuxprobe ~]# firefox 











f» Applications Places Rees Web Browser 4) Qj Tue14:23 Groot 
Test Page for the Apache HTTP Server on Red Hat Enterprise Linux - Mozilla Firefox | = | a | x 
File Edit View History Bookmarks Tools Help 
est Page for the Apache H... X | x | + | 
& 127.0.0.1 v &| [BY Google aga 





Red Hat Enterprise Linux Test Page 


This page is used to test the proper operation of the Apache HTTP server after it has been installed. If you can read this page, it means that the Apache HTTP server 
installed at this site is working properly. 


If you are a member of the general public: If you are the website administrator: 

The fact that you are seeing this page indicates that the website you just You may now add content to the directory /var/www/html/, Note that until you 
visited is either experiencing problems, or is undergoing routine do so, people visiting your website will see this page, and not your content. 

maintenance. To prevent this page from ever being used, follow the instructions in the file 


/etc/httpd/conf.d/welcome,conf. 
If you would like to let the administrators of this website know that you've 


seen this page instead of the page you expected, you should send them You are free to use the image below on web sites powered by the Apache 
e-mail. In general, mail sent to the name "webmaster" and directed to the HTTP Server: 
website's domain should reach the appropriate person. 
wered by 2.4 
For example, if you experienced problems while visiting www.example.com, APACHE 
you should send e-mail to "webmaster@example.com". 


For information on Red Hat Enterprise Linux, please visit the Red Hat, Inc. 
website, The documentation for Red Hat Enterprise Linux is available on the 
Red Hat, Inc. website, 








ry 1/4 @ 


图 10-3 ”httpd 服 务 程序 的 默认 页 面 





10.2 ”配置 服务 文件 参数 








需要 提醒 大 家 的 是 ， 前 文 介 绍 的 httpd 服 务 程序 的 安装 和 运 
行 ， 仅 仅 是 httpd 服 务 程序 的 一 些 皮毛 ， 我 们 依然 有 很 长 的 道路 
要 走 。 在 Linux 系 统 中 配置 服务 ， 其 实 就 是 修改 服务 的 配置 文 
件 ， 因 此 ， 还 需要 知道 这 些 配置 文件 的 所 在 位 置 以 及 用 途 ， 
httpd 服 务 程序 的 主要 配置 文件 及 存放 位 置 如 表 10-1 所 示 。 














表 10-1 Linux 系 统 中 的 配置 文件 


配置 文件 的 名 称 存放 位 置 


/ var /www/html 
/var/log/httpd/access log 
/var/log/httpd/error log 








大 家 在 首次 打开 httpd 服 务 程序 的 主 配 置 文件 ， 可 能 会 吓 一 
BI 竟然 有 353 行 ! 这 得 至 少 需要 一 周 的 时 间 才 能 看 完 

t? ! 但 是 ， 大 家 只 要 仔细 观看 就 会 发 现 刘 道 老师 在 这 里 调皮 
了 。 因 为 在 这 个 配置 文件 中 ， 所 有 以 并 号 GO 开始 的 行 都 是 
注释 行 ， 其 目的 是 对 httpd 服 务 程序 的 功能 或 某 一 行 参数 进行 介 
绍 ， 我 们 不 需要 逐 行 研究 这 些 内 容 。 











在 httpd 服 务 程序 的 主 配 置 文件 中 ， 存 在 三 种 类 型 的 信息 : 
注释 行 信 息 、 全 局 配置 、 区 域 配 置 ， 如 图 10-4 所 示 。 





A 
</Directory> KAREO 


</Location> | 区 域 配置 ， 








图 10-4 ”httpd 服 务 程序 的 主 配置 文件 的 构成 














各 位 读者 在 学 习 第 4 章 时 已 经 接触 过 注释 信息 ， 因 此 这 里 
主要 讲解 全 局 配置 参数 与 区 域 配置 参数 的 区 别 。 顾 名 思 义 ， 全 
局 配置 参数 瓯 是 一 种 全 局 性 的 配置 参数 ， 可 作用 于 对 所 有 的 子 
站 点 ， 既 保证 了 子 站 点 的 正常 访问 ， 也 有 效 减 少 了 频繁 写 入 重 
复 参 数 的 工作 量 。 区 域 配置 参数 则 是 单独 针对 于 每 个 独立 的 子 
站 点 进行 设置 的 。 怠 像 在 大 学 食 符 里 面 打 饭 ， 食 尝 负 责 打 饭 的 
阿姨 先 给 每 位 同学 来 一 碗 标准 大 小 的 白 饭 《全 局 配置 ) ， 然 后 
再 根据 每 位 同学 的 具体 要 求 盛 放 他 们 想 吃 的 沫 《区域 配置 ) 。 

在 httpd 服 务 程序 主 配置 文件 中 ， 最 为 党 用 的 参数 如 表 10-2 所 
示 。 









































表 10-2 配置 httpd 服 务 程 序 时 最 常用 的 参数 以 及 用 途 摘 述 





ServerName 网 站 服务 器 的 域名 


监听 的 IP 地 址 与 端口 号 
默认 的 索引 页 页 面 


p 
网 页 超时 时 间 ， 默 认为 300 秒 





从 表 10-2 中 可 知 ，DocumentRoot 参 数 用 于 定义 网 站 数据 的 
保存 路 径 ， 其 参数 的 默认 值 是 把 网 站 数据 存放 到 /varwww/html 
目录 中 ;而 当前 网 站 普 遇 的 首页 面 名 称 是 ipdex.html， 因 此 可 
以 同 /Var/www/html 目 录 中 写 入 一 个 文件 ， 蔡 换 挥 httpd 服 务 程 
序 的 默认 首页 面 ， 该 操作 会 立即 生效 。 


在 执行 上 述 操作 之 后 ， 再 在 Firefox 浏 览 器 中 刷新 httpd 服 务 
程序 ， 可 以 看 到 该 程序 的 首页 面 内容 已 经 发 生 了 改变 ， 如 图 
10-5 所 示 。 











[root@linuxprobe ~]# echo "Welcome To LinuxProbe.Com" > 
/var/www/htm1l/index.html 





[root@linuxprobe ~]# firefox 


Mozilla Firefox 
File Edit View History Bookmarks Tools Help 
| C1 http;//127.0.0.1/ | + | 
127.0.0.1 «(E Q i & 


"Welcome To LinuxProbe.Com" 


图 10-5 ”httpd 服 务 程 序 的 首页 面 内 容 已 经 被 修改 


大 家 在 完成 这 个 实验 之 后 ， 是 不 是 信心 爆棚 了 了 呢 ? ! 在 默 
认 情 况 下 ， 网 站 数据 是 保存 在 /varwwwhtml 目 录 中 ， 而 如 果 想 
把 保存 网 站 数据 的 目录 修改 为 /home/wwwroot 目 录 ， 该 怎么 操 
E? 且 看 下 文 。 























第 1 步 : 建立 网 站 数据 的 保存 目录 ， 并 创建 首页 文件 。 





[root@linuxprobe ~]# mkdir /home/wwwroot 


[root@linuxprobe ~]# echo "The New Web Directory" > /ho 
me/wwwroot/index.html 





第 2 步 : 打开 httpd 服 务 程序 的 主 配置 文件 ， 将 约 第 119 行 用 





于 定义 网 站 数据 保存 路 径 的 参数 DocumentRoot 修 改 

为 home/wwwroot， 同 时 还 需要 将 约 第 124 行 用 于 定义 目录 权限 
的 参数 Directory 后 面 的 路 径 也 修改 为 home/wwwroot。 配 置 文 
件 修改 完毕 后 即 可 保存 并 退出 。 








[root@linuxprobe ~]# vim /etc/httpd/conf/httpd.conf 
省 略 部 分 得 出 信息 .ee 


115 # DocumentRoot: The directory out of which you will 
serve your 
116 # documents. By default, all requests are taken fro 
m this directory, but 
117 # symbolic links and aliases may be used to point t 
o other locations. 
118 # 
119 DocumentRoot "/home/wwwroot" 
120 
121 # 
122 # Relax access to content within /var/www. 
123 # 
124 «Directory "/home/wwwroot"> 

AllowOverride None 

# Allow open access: 

Require all granted 

</Directory> 

省 略 部 分 得 出 信息 .ee 

[root@linuxprobe ~]# 





第 3 步 : 重新 局 动 httpd 服 务 程序 并 验证 效果 ， 浏 览 右 刷新 
页 面 后 的 内 容 如 图 10-6 所 示 。 奇 怪 ! 为 什么 看 到 了 httpd 服 务 程 


序 的 默认 首页 面 ? 按理 来 说 ， 只 有 在 网 站 的 首页 面 文件 不 存在 
或 者 用 户 权限 不 足 时 ， 才 显示 httpd 服 务 程 序 的 默认 首页 面 。 我 
们 在 尝试 访问 http://127.0.0.1index.html 页 面 时 ， 竟 然 发 现 页 面 
中 显示 “Forbidden,You don't have permission to access 
/index.html on this server.”。 而 这 一 切 正 是 SELinux 在 揭 鬼 。 


[root@linuxprobe ~]# systemctl restart httpd 


[root@linuxprobe ~]# firefox 





® Applications Places Ge Web Browser 4) Qi Tue14:23 root 





Test Page for the Apache HTTP Server on Red Hat Enterprise Linux - Mozilla Firefox -|Hn 


File Edit View History Bookmarks Tools Help 





Test Page for the Apache H... X i8 Red Hat x | $+ | 
& 127.0.0.1 v @| |B Google Q à a 


Red Hat Enterprise Linux Test Page 


This page is used to test the proper operation of the Apache HTTP server after it has been installed. If you can read this page, it means that the Apache HTTP server 
installed at this site is working properly, 


If you are a member of the general public: If you are the website administrator: 

The fact that you are seeing this page indicates that the website you just You may now add content to the directory /var/www/html/, Note that until you 
visited is either experiencing problems, or is undergoing routine do so, people visiting your website will see this page, and not your content. 

maintenance. To prevent this page from ever being used, follow the instructions in the file 


/etc/httpd/conf.d/welcome, conf. 
If you would like to let the administrators of this website know that you've 


seen this page instead of the page you expected, you should send them You are free to use the image below on web sites powered by the Apache 
e-mail. In general, mail sent to the name "webmaster" and directed to the HTTP Server: 
website's domain should reach the appropriate person. 
wered by 2.4 
For example, if you experienced problems while visiting www.example.com, "in PACHE 


you should send e-mail to "webmaster@example.com", 


For information on Red Hat Enterprise Linux, please visit the Red Hat, Inc. 
website, The documentation for Red Hat Enterprise Linux is available on the 
Red Hat, Inc. website, 





root @linuxprobe:~/Desktop 1/4 


© 
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10.3 SELinux Z4- f 5: 


SELinux (Security-Enhanced Linux) 是 美国 国家 安全 局 在 
Linux 开 源 社 区 的 帮助 下 开发 的 一 个 强制 访问 控制 (MAC， 
Mandatory Access Control) 的 安全 子 系统 。RHEL 7 系统 使 用 
SELinux 技 术 的 目的 是 为 了 让 各 个 服务 进程 都 受到 约束 ， 使 其 
仅 获 取 到 本 应 获取 的 资源 。 











例如 ， 您 在 目 己 的 电脑 上 下 载 了 一 个 闫 图 软件 ， 当 您 全 神 
员 注 地 使 用 它 给 照片 进行 美 磊 的 时 候 ， 它 却 在 后 台 默 默 监听 大 
浏览 器 中 输入 的 密码 信息 ， 而 这 显然 不 应 该 是 它 应 做 的 事情 
哪怕 征 访问 电脑 中 的 图 片 资 源 ， 都 情 有 可 原 ) 。SELinux 安 
全 子 系统 就 是 为 了 杜绝 此 类 情况 而 设计 的 ， 它 能 够 从 多 方面 监 
控 违 法 行为 : 对 服务 程序 的 功能 进行 限制 (SELinux 域 限制 可 
以 确保 服务 程序 做 不 了 出 格 的 事情 ) ， 对 文件 资源 的 访问 限制 
CSELinux 安 全 上 下 文 确 保 文 件 资源 只 能 被 其 押 属 的 服务 程序 
进行 访问 ) 。 

















刘 哮 老师 经 常会 把 “SELinux 域 "和 “SELinux 安 全 上 下 文 ” 称 
为 是 Linux 系 统 中 的 双人 保险， 系统 内 的 服务 程序 只 能 规 规矩 矩 
地 拿 到 上 自己 所 应 该 获取 的 资源 ， 这 样 即便 黑客 入 侵 了 系统 ， 也 
无 法 利用 系统 内 的 服务 程序 进行 越权 操作 。 人 但是， 非常 可 惜 的 








是 ，SELinux 服 务 比 较 复 杂 ， 配 置 难 度 也 很 大 ， 加 之 很 多 运 维 
人 
Linux 系 统 后 直接 将 SELinux 禁 用 了 ; 这 绝对 不 是 明智 的 选择 。 














SELinux 服 务 有 三 种 配置 模式 ， 具 体 如 下 。 


e enforcing: 强制 启用 安全 策略 模式 ， 将 拦截 服务 的 不 合法 
请 求 。 

e permissive: 遇 到 服务 越权 访问 时 ， 只 发 出 警告 而 不 强制 拦 
[E 

e disabled: 对 于 越权 的 行为 不 警告 也 不 拦截 。 











本 书 中 的 所 有 实验 都 是 在 强制 启用 安全 策略 模式 下 进行 
的 ， 虽 然 在 禁用 SELinux 服 务 后 确实 能 够 减少 报错 几率 ， 但 这 
在 生产 环境 中 相当 不 推荐 。 建 议 大 家 检查 一 下 自己 的 系统 ， 碍 
看 SELinux 服 务 主 配置 文件 中 定义 的 默认 状态 。 如 果 是 
permissive 或 disabled， 建 议 赶 紧 修改 为 enforcing。 

















[root@linuxprobe ~]# vim /etc/selinux/config 
# This file controls the state of SELinux on the system 


# SELINUX= can take one of these three values: 

# enforcing - SELinux security policy is enforced. 

# permissive - SELinux prints warnings instead of enfor 
cing. 

# disabled - No SELinux policy is loaded. 
SELINUX=enforcing 


# SELINUXTYPE= can take one of these two values: 

# targeted - Targeted processes are protected, 

# minimum - Modification of targeted policy. Only selec 
ted processes are protected. 

# mls - Multi Level Security protection. 
SELINUXTYPE=targeted 








SELinux 服 务 的 主 配置 文件 中 ， 定 义 的 是 SELinux 的 默认 运 
行 状态 ， 可 以 将 其 理解 为 系统 重启 后 的 状态 ， 因 此 它 不 会 在 更 
改 后 立即 生效 。 可 以 使 用 getenforce 命 令 获 得 当前 SELinux 服 务 
的 运行 模式 : 


[root@linuxprobe ~]# getenforce 
Enforcing 
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的 ， 可 以 用 setenforce [0|1] 命 令 修 改 SELinux 当 前 的 运行 模式 
(0 为 禁用 ，1 为 局 用) 。 注 意 ， 这 种 修改 只 是 临时 的 ， 在 系统 
EUR e UAR 








[root@linuxprobe ~]# setenforce 6 


[root@linuxprobe ~]# getenforce 
Permissive 








再 次 刷新 网 页 ， 束 会 看 到 正常 的 网 页 内 容 了 ， 如 图 10-7 所 
示 。 可 见 ， 问 题 确实 是 出 在 了 SELinux 服 务 上 面 。 





[root@linuxprobe ~]# firefox 








图 10-7 页 面 内 容 按照 预期 显示 








现在 ， 我 们 来 回忆 一 下 前 面 的 操作 中 到 搬 古 哪里 出 问题 了 
呢 ? 


httpd 服 务 程序 的 功能 是 允许 用 户 访问 网 站 内 容 ， 因 此 
SELinux 肯 定 会 默认 放行 用 户 对 网 站 的 请 求 操 作 。 但 是 ， 我 们 
将 网 站 数据 的 默认 保存 目录 修改 为 了 /home/wwwroot， 而 这 就 
产生 问题 了 。 在 6.1 小 节 中 讲 到 ，/home 目 录 是 用 来 存放 普通 用 
户 的 家 目录 数据 的 ， 而 现在 ，httpd 提 供 的 网 站 服务 却 要 去 获取 
普通 用 户 家 目录 中 的 数据 了 ， 这 显然 违反 了 SELinux 的 监管 原 
则 。 




















现在 ， 我 们 把 SELinux 服 务 恢复 到 强制 启用 安全 策略 模 
式 ， 然 后 分 别 查 看 原始 网 站 数据 的 保存 目录 与 当前 网 站 数据 的 
保存 目录 是 否 拥 有 不 同 的 SELinux 安 全 上 和 下文 值 : 


























[root@linuxprobe ~]# setenforce 1 
[root@linuxprobe ~]# ls -Zd /var/www/html 
drwxr-xr-x. root root system_u:object_r:httpd_sys_conte 


nt_t:s@ /var/www/html 

[root@linuxprobe ~]# ls -Zd /home/wwwroot 

drwxrwxrwx. root root unconfined u:object r:home root t 
:s0 /home/wwwroot 








在 文件 上 设置 的 SELinux 安 全 上 下 文 是 由 用 户 段 、 角 色 段 
以 及 类 型 段 等 多 个 信息 项 共同 组 成 的 。 其 中 ， 用 户 段 System u 
代表 系统 进程 的 身份 ， 角 色 段 object_r 代 表 文 件 目录 的 角色 ， 
类 型 段 httpd_sys_content_t 代 表 网 站 服务 的 系统 文件 。 由 于 
SELinux 服 务实 在 太 过 复杂 ， 现 在 大 家 只 需要 简单 熟悉 SELinux 
服务 的 作用 就 可 以 ， 间 租 老 师 未 来 会 在 本 书 的 进 阶 篇 中 单独 拿 
出 一 个 章节 仔细 讲解 SELinux 服 务 。 




















针对 当前 这 种 情况 ， 我 们 只 需要 使 用 semanage 命 令 ， 将 当 
前 网 站 目录 /home/wwwroot 的 SELinux 安 全 上 下 文 修改 为 跟 原始 
网 站 目录 的 一 样 就 可 以 了 。 


10.3.1 semanagefii > 





semanage 命 令 用 于 管理 SELinux 的 策略 ， 格 式 为 “semanage 
[选项 ] [文件 ]”。 


SELinux 服 务 极 大 地 提升 了 Linux 系 统 的 安全 性 ， 将 用 户 权 
限 牢 牢 地 锁 在 笼子 里 。semanage 命 令 不 仅 能 够 像 传统 chcon 命 
令 那 样 一 一 设置 文件 、 目 录 的 策略 ， 还 可 以 管理 网 络 端口 、 消 





轧 接 口 〈《 这 些 新 特性 将 在 本 章 后 文中 涵盖 ) 。 使 用 semanage 命 
令 时 ， 经 党 用 到 的 几 个 参数 及 其 功能 如 下 所 示 : 


e -| 参数 用 于 查询 ; 
-a 参数 用 于 添加 ; 
-m 参 数 用 于 修改 ; 
。-d 参 数 用 于 删除 。 





例如 ， 可 以 同 新 的 网 站 数据 目录 中 新 添加 一 条 SELinux 安 
全 上 下 文 ， 让 这 个 目录 以 及 里 面 的 所 有 文件 能 够 被 httpd 服 务 程 
序 所 访问 到 : 





[root@linuxprobe ~]# semanage fcontext -a -t httpd_sys_ 
content t /home/wwwroot 


[root@linuxprobe ~]# semanage fcontext -a -t httpd sys - 
content t /home/wwwroot/* 








注意， 执行 上 述 设置 之 后 ， 还 无 法 立即 访问 网 站 ， 还 需要 
使 用 restorecon 命 令 将 设置 好 的 SELinux 安 全 上 下 文 立即 生效 。 
在 使 用 restorecon 命 令 时 ， 可 以 加 上 -Rv 参数 对 指定 的 目录 进行 
递归 操作 ， 以 及 显示 SELinux 安 全 上 下 文 的 修改 过 程 。 最 后 ， 
再 次 刷新 页 面 ， 束 可 以 正常 看 到 网 页 内 容 了 ， 结 果 如 图 10-8 所 
示 。 


[root@linuxprobe ~]# restorecon -Rv /home/wwwroot/ 
restorecon reset /home/wwwroot context unconfined_u:obj 








ect r:home root t:s0-» 

unconfined u:object r:httpd sys content t:s0 

restorecon reset /home/wwwroot/index.html context uncon 
fined u:object r:home root 
t:s0-»unconfined u:object r:httpd sys content 七 :S6 
[root@linuxprobe ~]# firefox 





f& Applications Places Ge Web Browser *) Qi Sun17:32 root 
Mozilla Firefox 





File Edit View History Bookmarks Tools Help 
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The New Web Directory 





10-8 ”正常 看 到 网 页 内 容 


真 可 谓 是 一 波 三 折 ! 原本 认为 只 要 把 httpd 服 务 程 序 配 置 受 
当 就 可 以 大 功 告 成 ， 结 果 却 反复 受到 了 SELinux 安 全 上 下 文 的 
限制 。 所 以 ， 建 议 大 家 在 配置 httpd 服 务 程序 时 ， 一 定 要 细心 、 
耐心 。 一 旦 成 功 配 受 httpd 服 务 程 序 之 后 ， 束 会 及 现 SELinux 服 
务 并 没有 那么 难 。 





因为 在 RHCSA、RHCE 或 RHCA 考 试 中 ， 都 需要 先 重启 您 的 机 器 
然后 再 执行 判 分 脚本 。 因 此 ， 建 议 读者 在 日 党 工作 中 要 养 成 将 所 需 服 
务 添加 到 开机 局 动 项 中 的 习惯 ， 比 如 这 里 就 需要 添加 Systemctl enable 
httpd 命 令 。 








10.4 个 人 用 户主 页 功能 





如 果 想 在 系统 中 为 每 位 用 户 建立 一 个 独立 的 网 站 ， 通 第 的 
方法 是 基于 虚拟 网 站 主机 功能 来 部 车 多 个 网 站 。 但 这 个 工作 会 
让 管理 员 天 不 坊 言 《尤其 是 用 户 数量 很 庞大 时 ) ， 而 且 在 用 户 
目 行 管理 网 站 时 ， 还 会 碰 到 各 种 权限 限制 ， 需 要 为 此 做 很 多 额 
外 的 工作 。 其 实 ，httpd 服 务 程 序 提供 的 个 人 用 户主 页 功能 完 
可 以 以 胜任 这 个 工作 。 该 功能 可 以 让 系统 内 所 有 的 用 户 在 目 己 
的 家 目录 中 管理 个 人 的 网 站 ， 而 且 访 问 起 来 也 非常 容易 。 























第 1 步 : 在 httpd 服 务 程序 中 ， 默 认 没 有 开启 个 人 用 户主 页 
功能 。 为 此 ， 我 们 需要 编辑 下 面 的 配置 文件 ， 然 后 在 第 17 行 的 
UserDir disabled 参 数 前 面 加 上 井 号 〈#) ， 表 示 让 httpd 服 务 程 
序 开启 个 人 用 户主 页 功能 ， 同 时 再 把 第 24 行 的 UserDir 
public_html 参 数 前 面 的 井 号 GE) 去 掉 (UserDir 参 数 表 示 网 站 
数据 在 用 户 家 目录 中 的 保存 目录 名 称 ， 即 public_html 目 录 )〉。 
最 后 ， 在 修改 完毕 后 记得 保存 。 














[root@linuxprobe ~]# vim /etc/httpd/conf.d/userdir. conf 


1 # 

2 # UserDir: The name of the directory that is append 
ed onto a user's home 

3 # directory if a ~user request is received. 

4 # 


5 # The path to the end user account 'public html' di 
rectory must be 

6 # accessible to the webserver userid. This usually 
means that ~userid 

7 # must have permissions of 711, -userid/public html 
must have permissions 

8 # of 755, and documents contained therein must be w 
orld-readable. 

9 # Otherwise, the client will only receive a "403 Fo 
rbidden" message. 

10 # 

11 «IfModule mod userdir.c» 

12 # 

13 # UserDir is disabled by default since it can confi 
rm the presence 

14 # of a username on the system (depending on home di 
rectory 

15 4 permissions). 

16 # 

17 # UserDir disabled 

18 

19 # 

20 # To enable requests to /~user/ to serve the user's 

public html 

21 # directory, remove the "UserDir disabled" line abo 
ve, and uncomment 

22 # the following line instead: 

23 # 

24  UserDir public html 

25 </IfModule> 

26 

27 d 

28 # Control access to UserDir directories. The follow 
ing is an example 

29 # for a site where these directories are restricted 
to read-only. 


30 # 

31 «Directory "/home/*/public html"» 

32 AllowOverride Filelnfo AuthConfig Limit Indexes 

33 Options MultiViews Indexes SymLinksIfOwnerMatch Inc 
ludesNoExec 

34 Require method GET POST OPTIONS 

35 </Directory> 











第 2 步 : 在 用 户 家 目录 中 建 并 用 于 保存 网 站 数据 的 目录 及 
首页 面 文件 。 另 外 ， 还 需要 把 家 目录 的 权限 修改 为 755， 保 证 
其 他 人 也 有 权限 读 取 里 面 的 内 容 。 


[root@linuxprobe homel# su - linuxprobe 

Last login: Fri May 22 13:17:37 CST 2017 on :6 
[linuxprobeQlinuxprobe ~]$ mkdir public html 
[linuxprobeQlinuxprobe ~]$ echo "This is linuxprobe's w 


ebsite" » public html/ 

index.html 

[linuxprobeQlinuxprobe ~]$ chmod -Rf 755 /home/linuxpro 
be 








第 3 步 : 重新 局 动 httpd 服 务 程序 ， 在 浏览 器 的 地 址 栏 中 输 
入 网 址 ， 其 格式 为 “网 址 /~ 用 户 名 ”( 其 中 的 波浪 号 是 必需 的 ， 
而 且 网 址 、 波 浪 写 、 用 户 名 之 间 没 有 空格 〉， 从 理论 上 来 讲 束 
可 以 看 到 用 户 的 个 人 网 站 了 。 不 出 所 料 的 是 ， 系 统 显 示 报 错 页 
面 ， 如 网 10-9 所 示 。 这 一 定 还 是 SELinux 套 的 祝 。 























第 4 步 : 思考 这 次 报错 的 原因 是 什么 。httpd 服 务 程序 在 提 
供 个 人 用 户主 页 功能 时 ， 访 用 户 的 网 站 数据 目录 本 号 就 应 该 是 











存放 到 与 这 位 用 户 对 应 的 家 目录 中 的 ， 所 以 应 该 不 需要 修改 家 
目录 的 SELinux 安 全 上 和 下文。 但 是 ， 前 文 还 讲 到 了 Linux 域 的 概 
念 。Linux 域 确保 服务 程序 不 能 执行 违规 的 操作 ， 只 能 本 本 分 
分 地 为 用 户 提供 服务 。httpd 服 务 中 突然 开局 的 这 项 个 人 用 户主 
页 功能 到 底 有 没有 被 SELinux 域 默认 允许 呢 ? 














f& Applications Places Bier ox Web Browser *) Qi Sun18:20 root 
403 Forbidden - Mozilla Firefox 
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403 Forbidden | | 
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Forbidden 


You don't have permission to access /~linuxprobe on this server. 


图 10-9 禁止 访问 用 户 的 个 人 网 站 


接 下 来 使 用 getsebool 命 令 查 询 并 过 滤 出 所 有 与 HTTP 协 议 
相关 的 安全 策略 。 其 中 ，off 为 禁止 状态 ，on 为 允许 状态 。 





[root@linuxprobe ~]# getsebool -a | grep http 
httpd_anon_write --> off 
httpd_builtin_scripting --> on 
httpd_can_check_spam --> off 
httpd_can_connect_ftp --> off 
httpd_can_connect_ldap --> off 
httpd_can_connect_mythtv --> off 
httpd_can_connect_zabbix --> off 
httpd_can_network_connect --> off 
httpd_can_network_connect_cobbler --> off 
httpd_can_network_connect_db --> off 
httpd_can_network_memcache --> off 
httpd_can_network_relay --> off 


httpd_can_sendmail --> off 
httpd dbus avahi --> off 

httpd dbus sssd --> off 

httpd dontaudit search dirs --> off 
httpd enable cgi --> on 

httpd enable ftp server --> off 
httpd enable homedirs --> off 

httpd execmem --> off 

httpd graceful shutdown --> on 
httpd manage ipa --> off 

httpd mod auth ntlm winbind --> off 
httpd mod auth pam --> off 

httpd read user content --> off 
httpd run stickshift --> off 

httpd serve cobbler files --> off 
httpd setrlimit --> off 
httpd ssi exec --> off 

httpd sys script anon write --> off 
httpd tmp exec --> off 
httpd tty comm --> off 

httpd unified --> off 
httpd use cifs --> off 
httpd use fusefs --» off 
httpd use gpg --> off 

httpd use nfs --> off 
httpd use openstack --> off 
httpd use sasl --> off 

httpd verify dns --> off 

named tcp bind http port --» off 
prosody bind http port --» off 





面 对 如 此 多 的 SELinux 域 安全 策略 规则 ， 实 在 没有 必要 逐 
个 理解 它们 ， 我 们 只 要 能 通过 名 字 大 致 猜测 出 相关 的 策略 用 途 


就 足够 了 了 。 比 如 ， 想 要 开局 httpd 服 务 的 个 人 用 户主 页 功能 ， 那 
么 用 到 的 SELinux 域 安全 策略 应 该 是 httpd_enable_homedirs 吧 ? 
KAZE Je Wt BY LA Fa setsebool tit S R SELinux 4 W& "P $2 
规则 的 布尔 值 了 。 大 家 一 定 要 记得 在 setsebool 命 令 后 面 加 上 -P 
参数 ， 让 修改 后 的 SELinux 策 略 规则 永久 生效 且 立 即 生效 。 随 
后 刷新 网 页 ， 其 效果 如 图 10-10 所 示 。 





[root@linuxprobe ~]# setsebool -P httpd enable homedirs 
-on 
[root@linuxprobe ~]# firefox 











图 10-10 ”正常 看 到 个 人 用 户主 页 面 中 的 内 容 


有 时， 网 站 的 拥有 者 并 不 希望 直接 将 网 页 内 容 显 示 出 来 ， 
只 想 让 通过 身份 验证 的 用 户 访客 看 到 里 面 的 内 容 ， 这 时 就 可 以 
在 网 站 中 添加 口令 功能 了 。 


第 1 步 : 先 使 用 htpasswd 命 令 生成 密码 数据 库 。-c 参 数 表示 
第 一 次 生成 : 后 面 再 分 别 谎 加 密码 数据 库 的 存放 文件 ， 以 及 验 
证 要 用 到 的 用 户 名 称 〈 访 用户 不 必 是 系统 中 已 有 的 本 地 账 
人 








[root@linuxprobe ~]# htpasswd -c /etc/httpd/passwd linu 
xprobe 


New password: 此 处 输入 用 于 网 页 验证 的 密码 


Re-type new password: 再 输入 一 遍 进 行 确认 
Adding password for user linuxprobe 





第 2 步 : 编辑 个 人 用 户主 页 功能 的 配置 文件 。 把 第 31 一 35 
行 的 参数 信息 修改 成 下 列 内容 ， 其 中 井 写 (#) 开头 的 内 容 为 
刘 诅 老师 添加 的 注释 信息 ， 可 将 其 忽略 。 随 后 保存 并 退出 配置 
文件 ， 重 启 httpd 服 务 程序 即 可 生效 。 








[root@linuxprobe ~]# vim /etc/httpd/conf.d/userdir. conf 
27 d 

28 # Control access to UserDir directories. The followi 
ng is an example 

29 # for a site where these directories are restricted 
to read-only. 

30 it 

31 «Directory "/home/*/public html"» 

32 AllowOverride all 

# 刚 刚 生 成 出 来 的 密码 验证 文件 保存 路 径 

33 authuserfile "/etc/httpd/passwd" 

# 当 用 户 尝 试 访问 个 人 用 户 网 站 时 的 提示 信息 

34 authname "My privately website" 

35 authtype basic 

# 用 户 进 行 账户 密码 登录 时 需要 验证 的 用 户 名 称 

36 require user linuxprobe 

37 </Directory> 

[root@linuxprobe ~]# systemctl restart httpd 

















此 后 ， 当 用 户 再 想 访 问 茶 个 用 户 的 个 人 网 站 时 ， 就 必须 要 


输入 账户 和 密码 才能 正常 访问 了 。 男 外 ， 验 证 时 使 用 的 账户 和 
密码 是 用 htpasswd 命 令 生 成 的 专门 用 于 网 站 登录 的 口令 密码 ， 

而 不 是 系统 中 的 用 户 密 码 ， 请 不 要 搞 错 了 。 登 录 界 面 如 图 10- 
11 所 示 。 
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Authentication Required 


ebsite 

















图 10-11 网 站 提示 需要 输入 账户 和 密码 才能 访问 


10.5 ”虚拟 主机 功能 


如 果 每 台 运 行 Linux 系 统 的 服务 器 上 只 能 运行 一 个 网 站 ， 
那么 人 气 低 、 流 量 小 的 草根 站 长 束 要 被 过 承 担 着 高 郧 的 服务 器 
租赁 费用 了 ， 这 显然 也 会 造成 硬件 资源 的 浪费 。 在 虚拟 专用 服 
务 器 (Virtual Private Sever, VPS) 与 云 计算 技术 诞生 以 前 ， 
IDC 服 务 供应 商 为 了 能 够 更 充分 地 利用 服务 器 资源 ， 同 时 也 为 
了 降低 购买 门槛 ， 于 是 纷纷 启用 了 虚拟 主机 功能 。 








利用 虚拟 主机 功能 ， 可 以 把 一 台 处 于 运行 状态 的 物理 服务 
器 分 割 成 多 个 “虚拟 的 服务 器 ”。 但 是 ， 该 技术 无 法 实现 目前 云 
主机 技术 的 硬件 资源 隔离 ， 让 这 些 虚 拟 的 服务 器 共同 使 用 物理 
服务 器 的 硬件 资源 ， 供 应 丙 只 能 限制 便 盘 的 使 用 空间 大 小 。 出 
于 各 种 考虑 的 因 系 主要 是 价格 低廉 ) ， 目 前 依然 有 很 多 企业 
或 个 人 站 长 在 使 用 虚拟 主机 的 形式 来 部 署 网 站 。 

















Apache 的 虚拟 主机 功能 是 服务 器 基于 用 户 请 求 的 不 同 IP 地 
址 、 主 机 域名 或 端口 号 ， 实 现 提供 多 个 网 站 同时 为 外 部 提供 访 
问 服务 的 技术 ， 如 图 10-12 所 示 ， 用 户 请 求 的 资源 不 同 ， 最 终 
获取 到 的 网 页 内 容 也 各 不 相同 。 如 果 大 家 之 前 没有 做 过 网 站 ， 
可 能 不 太 理 解 其 中 的 原理 ， 等 一 会 儿 搭建 出 实验 环境 并 看 到 实 
验 效果 之 后 ， 您 一 定 葡 会 明白 了 。 
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图 10-12 客户 端 癌 服务 器 请 求 网 站 服务 
10.5.1 基于 IP 地 址 


如 果 一 台 服 务 器 有 多 个 IP 地 址 ， 而 且 每 个 IP 地 址 与 服务 器 
上 部 署 的 每 个 网 站 一 一 对 应 ， 这 样 当 用 户 请 求 访 问 不 同 的 IP 地 
址 时 ， 会 访问 到 不 同 网 站 的 页 面 资源 。 而 且 ， 每 个 网 站 都 有 一 
个 独立 的 IP 地 址 ， 对 搜索 引擎 优化 也 大 有 神 益 。 因 此 以 这 种 方 
式 提供 虚拟 网 站 主机 功能 不 仅 最 常见 ， 也 受到 了 网 站 站 长 的 欢 
迎 《〈 尤 其 是 草根 站 长 ) 。 














刘 冲 老 师 在 第 4 蔓 和 第 9 章 分 别 讲解 了 用 于 配置 网 络 的 两 种 
方法 ， 大 家 在 实验 中 和 工作 中 可 随意 选择 。 就 当前 的 实验 来 








讲 ， 需 要 配置 的 IP 地 址 如 图 10-13 所 示 。 在 配置 完毕 并 重启 网 
卡 服 务 之 后 ， 记 得 检查 网 络 的 连通 性 ， 确 保 三 个 IP 地 址 均 可 正 
党 访问， 如 图 10-14 所 示 “〈 这 很 重要 ， 一 定 要 测试 好 ， 然 后 再 
EIT RZD . 


root@linuxprobe:~/Desktop EN: 


File Edit View Search Terminal Help 


Edit connection 


Profile name [iae 
Device EMISIT A 


= ETHERNET 


IPv4 CONFIGURATION 
<Remove> 
<Remove> 
<Remove> 


DNS servers <Add...> 
Search domains <Add...> 


Routing (No custom routes) <Edit...> 
[ ] Never use this network for default route 


[X] Require IPv4 addressing for this connection 








图 10-13 ”使 用 nmtui 命 令 配置 网 络 参数 


第 1 步 : 分 别 在 home/wwwroot 中 创建 用 于 保存 不 同 网 站 数 
据 的 3 个 目录 ， 并 同 其 中 分 别 写 入 网 站 的 首页 文件 。 每 个 首页 
文件 中 应 有 明确 区 分 不 同 网 站 内 容 的 信息 ， 方 便 我 们 稍 后 能 
直观 地 检查 效果 。 





root@linuxprobe:~/Desktop -|H 


File Edit View Search Terminal Help 


[ root@Linuxprobe Desktop]# Sy stemctl restart network 


PING 192.168.10.10 (192.168.10.10) 56(84) bytes of data. 

54 bytes from 192.168.10.10: icmp seq-1 ttl-64 time=0.062 ms 
C 

--- 192.168.10.10 ping statistics --- 

Í packets transmitted, 1 received, 0% packet loss, time Oms 


p]# ping : 
(192.168.10.20) 56(84) bytes of data. 
64 bytes from 192.168.10.20: icmp seq-1 ttl=64 time=0.104 ms 


tis 

--- 192.168.10.20 ping statistics --- 

1 packets transmitted, 1 received, 0% packet loss, time Oms 
rtt min/avg/max/mdev = 0. ME ULM ae e ms 


p op ping 
PING 192.168.10.30 (192. 168. 10.30) 56(84) pm of data. 
64 bytes from 192.168.10.30: icmp seq-1 ttl=64 time-0.098 ms 
RE 
--- 192.168.10.30 ping statistics --- 
1 packets transmitted, 1 received, 0% packet loss, time Oms 
rtt min/avg/max/mdev = 0.098/0.098/0.098/0.000 ms 
[root@linuxprobe Desktop]# 





图 10-14 分别 检查 3 个 IP 地 址 的 连通 性 


[root@linuxprobe ~]# mkdir -p /home/wwwroot/10 
[root@linuxprobe ~]# mkdir -p /home/wwwroot/20 
[rootglinuxprobe ~]# mkdir -p /home/wwwroot/30 
[root@linuxprobe ~]# echo "IP:192.168.10.10" > /home/ww 
wroot/10/index.html 


[root@linuxprobe ~]# echo "IP:192.168.10.20" > /home/ww 
wroot/20/index.html 
[root@linuxprobe ~]# echo "IP:192.168.10.30" > /home/ww 
wroot/30/index.html 





第 2 步 : 在 httpd 服 务 的 配置 文件 中 大 约 113 行 处 开始 ， 分 别 
退 加 写 入 三 个 基于 卫 地 址 的 虚拟 主机 网 站 参数 ， 然 后 保存 并 退 
出 。 记 得 需要 重启 httpd 服 务 ， 这 些 配置 才 生 效 。 














[root@linuxprobe ~]# vim /etc/httpd/conf/httpd. conf 
省 略 部 分 输出 信息 .……… 
<VirtualHost 192.168.10.10» 
DocumentRoot /home/wwwroot/10 
ServerName www. linuxprobe.com 
<Directory /home/wwwroot/10 > 
AllowOverride None 
Require all granted 
</Directory> 
</VirtualHost> 
<VirtualHost 192.168.10.20» 
DocumentRoot /home/wwwroot/20 
ServerName bbs.linuxprobe.com 
«Directory /home/wwwroot/20 > 
AllowOverride None 
Require all granted 
</Directory> 
</VirtualHost> 
<VirtualHost 192.168.10.30» 
DocumentRoot /home/wwwroot/30 
ServerName tech.linuxprobe.com 
«Directory /home/wwwroot/30 > 
AllowOverride None 
Require all granted 
</Directory> 
</VirtualHost> 
省 略 部 分 输出 信息 .……… 
[root@linuxprobe ~]# systemctl restart httpd 





第 3 步 : 此 时 访问 网 站 ， 则 会 看 到 httpd 服 务 程序 的 默认 首 
页 面 。 大 家 现在 应 该 立刻 就 反应 过 来 一 一 这 是 SELinux 在 提 
扶 。 由 于 当前 的 home/wwwroot 目 录 及 里 面 的 网 站 数据 目录 的 
SELinux 安 全 上 下 文 与 网 站 服务 不 吻合 ， 因 此 httpd 服 务 程序 无 

















法 获取 到 这 些 网 站 数据 目录 。 我 们 需要 手动 把 新 的 网 站 数据 目 
录 的 SELinux 安 全 上 下 文 设置 正确 〈 见 前 文 的 实验 ) ， 并 使 用 

restorecon 命 令 让 新 设置 的 SELinux 安 全 上 下 文 立 即 生 效 ， 这 样 
区 可 以 立即 看 到 网 站 的 访问 效果 了 ， 如 图 10-15 所 示 。 





[root@linuxprobe ~]# semanage fcontext -a -t httpd_sys_ 
content_t /home/wwwroot 

[root@linuxprobe ~]# semanage fcontext -a -t httpd_sys_ 
content t /home/wwwroot/10 

[root@linuxprobe ~]# semanage fcontext -a -t httpd sys - 
content t /home/wwwroot/10/* 

[rootglinuxprobe ~]# semanage fcontext -a -t httpd sys - 
content t /home/wwwroot/20 

[rootglinuxprobe ~]# semanage fcontext -a -t httpd sys - 
content t /home/wwwroot/20/* 

[root@linuxprobe ~]# semanage fcontext -a -t httpd sys - 
content t /home/wwwroot/30 

[root@linuxprobe ~]# semanage fcontext -a -t httpd sys - 
content t /home/wwwroot/30/* 

[root@linuxprobe ~]# restorecon -Rv /home/wwwroot 
restorecon reset /home/wwwroot context unconfined u:obj 
ect r:home root t:s0-» 

unconfined u:object r:httpd sys content 七 :SO 

restorecon reset /home/wwwroot/10 context unconfined u: 
object r:home root t:s0- 

»unconfined u:object r:httpd sys content t:s0 
restorecon reset /home/wwwroot/10/index.html context un 
confined u:object r:home 

root t:s0-»unconfined u:object r:httpd sys content 七 :SO 
restorecon reset /home/wwwroot/20 context unconfined u: 
object r:home root t:s0-» 

unconfined u:object r:httpd sys content t:s0 

restorecon reset /home/wwwroot/20/index.html context un 


confined u:object r:home 

root t:s0-»unconfined u:object r:httpd sys content 七 :SO 
restorecon reset /home/wwwroot/30 context unconfined u: 
object r:home root t:s0-» 

unconfined u:object r:httpd sys content t:s0 

restorecon reset /home/wwwroot/30/index.html context un 
confined u:object r:home 

root t:s0-»unconfined u:object r:httpd sys content 七 :SO 
[root@linuxprobe ~]# firefox 
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图 10-15 ”基于 不 同 的 IP 地 址 访问 虚拟 主机 网 站 
10.5.2 ”基于 主机 域名 


当 服 务 器 无 法 为 每 个 网 站 都 分 配 一 个 独立 耳 地 址 的 时 候 ， 
可 以 尝试 让 Apache 目 动 识别 用 户 请 求 的 域名 ， 从 而 根据 不 同 的 








域名 请 求 来 传输 不 同 的 内 容 。 在 这 种 情况 下 的 配置 更 加 简单 ， 
只 需要 保证 位 于 生产 环境 中 的 服务 器 上 有 一 个 可 用 的 IP 地 址 

(这 里 以 192.168.10.10 为 例 ) 就 可 以 了 。 由 于 当前 还 没有 介绍 
如 何 配置 DNS 解析 服务 ， 因 此 需要 手工 定义 外地 址 与 域名 之 间 
的 对 应 关系 。/etc/hosts 是 Linux 系 统 中 用 于 强制 把 某 个 主机 域 

名 解析 到 指定 IP 地 址 的 配置 文件 。 简 单 来 襄 ， 只 要 这 个 文件 配 
置 正确 ， 即 使 网 卡 参 数 中 没有 DNS 信息 也 依然 能 够 将 域名 解析 
为 某 个 IP 地 址 。 











第 1 步 : 手工 定义 IP 地 址 与 域名 之 间 对 应 关系 的 配置 文 
件 ， 保 存 并 退出 后 会 立即 生效 。 可 以 通过 分 别 ping 这 些 域名 来 
验证 域名 是 否 已 经 成 功 解析 为 IP 地 址 。 














[root@linuxprobe ~]# vim /etc/hosts 


127.0.0.1 localhost localhost.localdomain localhost 
4 localhost4.localdomain4 
ea) localhost localhost.localdomain localhost 


6 localhost6.localdomain6 

192.168.10.10 www.linuxprobe.com bbs.linuxprobe.com tec 
h.linuxprobe.com 

[root@linuxprobe ~]# ping -c 4 www.linuxprobe.com 

PING www.linuxprobe.com (192.168.10.10) 56(84) bytes of 
data. 

64 bytes from www.linuxprobe.com (192.168.10.10): icmp_ 
seq-1 ttl-64 time-0.070 ms 

64 bytes from www.linuxprobe.com (192.168.10.10): icmp_ 
seq-2 ttl-64 time-0.077 ms 

64 bytes from www.linuxprobe.com (192.168.10.10): icmp 
seq-3 ttl-64 time=0.061 ms 


64 bytes from www.linuxprobe.com (192.168.10.10): icmp_ 
seq=4 ttl=64 time=0.069 ms 

--- www.linuxprobe.com ping statistics --- 

4 packets transmitted, 4 received, 0% packet loss, time 
2999ms 

rtt min/avg/max/mdev = 0.061/0.069/0.077/0.008 ms 
[root@linuxprobe ~]# 








第 2 步 : 分 别 在 home/wwwroot 中 创建 用 于 保存 不 同 网 站 数 
据 的 三 个 目录 ， 并 疝 其 中 分 别 写 入 网 站 的 首页 文件 。 每 个 首页 
文件 中 应 有 明确 区 分 不 同 网 站 内 容 的 信息 ， 方 便 我 们 稍 后 能 
直观 地 检查 效果 。 








[root@linuxprobe ~]# mkdir -p /home/wwwroot/www 
[root@linuxprobe ~]# mkdir -p /home/wwwroot/bbs 
[root@linuxprobe ~]# mkdir -p /home/wwwroot/tech 
[root@linuxprobe ~]# echo "WWW.linuxprobe.com" > /home/ 
wwwroot /www/index. html 

[root@linuxprobe ~]# echo "BBS.linuxprobe.com" > /home/ 
wwwroot/bbs/index. html 

[root@linuxprobe ~]# echo "TECH. linuxprobe.com" > /home 
/wwwroot/tech/index.html 








第 3 步 : 在 httpd 服 务 的 配置 文件 中 大 约 113 行 处 开始 ， 分 别 
退 加 写 入 三 个 基于 主机 名 的 虚拟 主机 网 站 参数 ， 然 后 保存 并 退 
出 。 记 得 需要 重 司 httpd 服 务 ， 这 些 配置 才 生效 。 

















[root@linuxprobe ~]# vim /etc/httpd/conf/httpd. conf 


met 省 略 部 分 输出 信 sss 
113 <VirtualHost 192.168.10.10» 


114 DocumentRoot "/home/wwwroot/www" 
115 ServerName "www. linuxprobe.com" 
116 «Directory "/home/wwwroot/www" > 
117 AllowOverride None 

118 Require all granted 

119 </directory> 

120 </VirtualHost> 

121 <VirtualHost 192.168.10.10» 

122 DocumentRoot "/home/wwwroot/bbs" 
123 ServerName "bbs.linuxprobe.com" 
124 «Directory "/home/wwwroot/bbs"» 
125 AllowOverride None 

126 Require all granted 

127 «/Directory» 

128 </VirtualHost> 

129 <VirtualHost 192.168.10.10» 

130 DocumentRoot "/home/wwwroot/tech" 
131 ServerName "tech.linuxprobe.com" 
132 «Directory "/home/wwwroot/tech"» 
133 AllowOverride None 

134 Require all granted 

135 «/directory» 

136 </VirtualHost> 

mE 省 略 部 分 输出 信息 .……… 











第 4 步 : 因为 当前 的 网 站 数据 目录 还 是 在 /home/wwwroot 目 
录 中 ， 因 此 还 是 必须 要 正确 设置 网 站 数据 目录 文件 的 SELinux 
安全 上 下 文 ， 使 其 与 网 站 服务 功能 相 吻 合 。 最 后 记得 用 
restorecon 命 令 让 新 配置 的 SELinux 安 全 上 下 文 立即 生效 ， 这 样 
束 可 以 立即 访问 到 虚拟 主机 网 站 了 ， 效 果 如 图 10-16 所 示 。 


[root@linuxprobe ~]# semanage fcontext -a -t httpd_sys_ 











content_t /home/wwwroot 

[root@linuxprobe ~]# semanage fcontext -a -t httpd_sys 
content t /home/wwwroot/www 

[rootglinuxprobe ~]# semanage fcontext -a -t httpd sys 
content t /home/wwwroot/www/* 

[rootglinuxprobe ~]# semanage fcontext -a -t httpd sys 
content t /home/wwwroot/bbs 

[rootglinuxprobe ~]# semanage fcontext -a -t httpd sys 
content t /home/wwwroot/bbs/* 

[rootglinuxprobe ~]# semanage fcontext -a -t httpd sys - 
content t /home/wwwroot/tech 

[rootglinuxprobe ~]# semanage fcontext -a -t httpd sys - 
content t /home/wwwroot/tech/* 

[root@linuxprobe ~]# restorecon -Rv /home/wwwroot 

reset /home/wwwroot context unconfined u:object r:home 
root t:s0-»unconfined u: 

object r:httpd sys content 七 :SO 

restorecon reset /home/wwwroot/www context unconfined u 
:object r:home root t: 
sO-»unconfined u:object r:httpd sys content 七 :SO 
restorecon reset /home/wwwroot/www/index.html context u 
nconfined u:object r: 

home root t:s0-»unconfined u:object r:httpd sys content 
_t:s@ 

restorecon reset /home/wwwroot/bbs context unconfined_u 
:object r:home root t: 
sO-»unconfined u:object r:httpd sys content 上 :SO 
restorecon reset /home/wwwroot/bbs/index.html context u 
nconfined u:object r: 

home root t:s0-»unconfined u:object r:httpd sys content 
_t:s0 

restorecon reset /home/wwwroot/tech context unconfined _ 
u:object_r:home_root_t: 
s@->unconfined_u:object_r:httpd_sys_content_t:s@ 
restorecon reset /home/wwwroot/tech/index.html context 
unconfined u:object r: 


home root t:s0-»unconfined u:object r:httpd sys content 
 t:s0 
[rootglinuxprobe ~]# firefox 
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图 10-16 ”基于 主机 域名 访问 虚拟 主机 网 站 





10.5.3 ”基于 端口 号 





基于 端口 号 的 虚拟 主机 功能 可 以 让 用 户 通过 指定 的 端口 号 
来 访问 服务 器 上 的 网 站 资源 。 在 使 用 Apache 配 置 虚拟 网 站 主机 
功能 时 ， 基 于 端口 号 的 配置 方式 是 最 复杂 的 。 因 此 我 们 不 仅 要 
考虑 httpd 服 务 程序 的 配置 因素 ， 还 需要 考虑 到 SELinux 服 务 对 
新 开设 端口 的 监控 。 一 般 来 说 ， 使 用 80、443、8080 等 端口 号 
来 提供 网 站 访问 服务 是 比较 合理 的 ， 如 果 使 用 其 他 端口 号 则 会 











受到 SELinux 服 务 的 限制 。 








在 接 下 来 的 实验 中 ， 我 们 不 但 要 考虑 到 目录 上 应 用 的 
SELinux 安 全 上 下 文 的 限制 ， 还 需要 考虑 SELinux 域 对 httpd 服 
务 程 序 的 管控 。 





第 1 步 : 分 别 在 /home/wwwroot 中 创建 用 于 保存 不 同 网 站 数 
据 的 两 个 目录 ， 并 问 其 中 分 别 写 入 网 站 的 首页 文件 。 每 个 首页 
文件 中 应 有 明确 区 分 不 同 网 站 内 容 的 信息 ， 方 便 我 们 稍 后 能 
直观 地 检查 效果 。 








[root@linuxprobe ~]# mkdir -p /home/wwwroot/6111 
[root@linuxprobe ~]# mkdir -p /home/wwwroot/6222 
[root@linuxprobe ~]# echo "port:6111" > /home/wwwroot/6 


111/index. html 
[root@linuxprobe ~]# echo "port:6222" > /home/wwwroot/6 
222/index. html 








第 2 步 : 在 httpd 服 务 配 置 文件 的 第 43 行 和 第 44 行 分 别 添加 
用 于 监听 6111 和 6222 端 口 的 参数 。 





[root@linuxprobe ~]# vim /etc/httpd/conf/httpd. conf 
Med ^83 WE PATS 2) 88 CB fes 4 


34 # Listen: Allows you to bind Apache to specific IP 
addresses and/or 

35 # ports, instead of the default. See also the <Virt 
ualHost> 

36 # directive. 


37 # 

38 # Change this to Listen on specific IP addresses as 
shown below to 

39 # prevent Apache from glomming onto all bound IP ad 
dresses. 

40 # 

41 #Listen 12.34.56.78:80 

42 Listen 8@ 

43 Listen 6111 

44 Listen 6222 
sut 省 略 部 分 输出 信息 .……… 








第 3 步 : 在 httpd 服 务 的 配置 文件 中 大 约 113 行 处 开始 ， 分 别 
退 加 写 入 两 个 基于 端口 号 的 虚拟 主机 网 站 参数 ， 然 后 保存 并 退 
出 。 记 得 需要 重 司 httpd 服 务 ， 这 些 配置 才 生效 。 











[root@linuxprobe ~]# vim /etc/httpd/conf/httpd. conf 
M 省 略 部 分 输出 信 sss 

113 <VirtualHost 192.168.10.10:6111> 
114 DocumentRoot "/home/wwwroot/6111" 
115 ServerName www. linuxprobe.com 
116 <Directory "/home/wwwroot/6111"> 
117 AllowOverride None 

118 Require all granted 

119 </Directory> 

120 </VirtualHost> 

121 <VirtualHost 192.168.10.10:6222> 
122 DocumentRoot "/home/wwwroot/6222" 
123 ServerName bbs.linuxprobe.com 
124 <Directory "/home/wwwroot/6222"> 
125 AllowOverride None 

126 Require all granted 

127 </Directory> 


128 </VirtualHost> 
VE 省 略 部 分 输出 信息 





第 4 步 : 因为 我 们 把 网 站 数据 目录 存放 在 /home/wwwroot 目 
录 中 ， 因 此 还 是 必须 要 正确 设置 网 站 数据 目录 文件 的 SELinux 
安全 上 下 文 ， 使 其 与 网 站 服务 功能 相 吻 合 。 最 后 记得 用 
restorecon 命 令 让 新 配置 的 SELinux 安 全 上 下 文 立即 生效 。 














[root@linuxprobe ~]# semanage fcontext -a -t httpd_sys_ 
content_t /home/wwwroot 

[root@linuxprobe ~]# semanage fcontext -a -t httpd_sys_ 
content_t /home/wwwroot/6111 

[root@linuxprobe ~]# semanage fcontext -a -t httpd_sys_ 
content t /home/wwwroot/6111/* 

[root@linuxprobe ~]# semanage fcontext -a -t httpd sys - 
content t /home/wwwroot/6222 

[rootglinuxprobe ~]# semanage fcontext -a -t httpd sys - 
content t /home/wwwroot/6222/* 

[root@linuxprobe ~]# restorecon -Rv /home/wwwroot/ 
restorecon reset /home/wwwroot context unconfined u:obj 
ect r:home root t:s0-» 

unconfined u:object r: httpd sys content 七 :S6 
restorecon reset /home/wwwroot/6111 context unconfined _ 
u:object r:home root t: 
sO-»unconfined u:object r:httpd sys content 七 :SO 
restorecon reset /home/wwwroot/6111/index.html context 
unconfined u:object r: 

home root t:s0-»unconfined u:object r:httpd sys content 
 t:s0 

restorecon reset /home/wwwroot/6222 context unconfined 
u:object r:home root t: 
sO-»unconfined u:object r:httpd sys content t:s0 


restorecon reset /home/wwwroot/6222/index.html context 
unconfined_u:object_r: 
home_root_t:s@->unconfined_u:object_r:httpd_sys_content 
_t:s@ 

[root@linuxprobe ~]# systemctl restart httpd 

Job for httpd.service failed. See 'systemctl status htt 
pd.service' and 'journalctl- 

xn' for details. 





见鬼 了 ! 在 受 当 配置 httpd 服 务 程序 和 SELinux 安 全 上 下 文 
并 重启 httpd 服 务 后 ， 竟 然 出 现 报 错 信息 。 这 是 因为 SELinux 服 
务 检测 到 6111 和 6222 庙 口 原 本 不 属于 Apache 服 务 应 该 需要 的 资 
源 ， 但 现在 却 以 httpd 服 务 程 序 的 名 义 监听 使 用 了 ， 所 以 
SELinux 会 拒绝 使 用 Apache 服 务 使 用 这 两 个 端口 。 我 们 可 以 使 
用 semanage 命 令 查 询 并 过 滤 出 所 有 与 HITP 协 议 相 关 且 SELinux 
服务 允许 的 端口 列表 。 











[root@linuxprobe ~]# semanage port -1 | grep http 
http_cache_port_t tcp 8080, 8118, 8123, 10001-10010 
http_cache_port_t udp 3130 

http_port_t tcp 80, 81, 443, 488, 8008, 8009, 8443, 9000 


pegasus http port t tcp 5988 
pegasus https port t tcp 5989 





第 5 步 : SELinux 人 允许 的 与 HTTP 协议 相关 的 端口 号 中 默认 
o 因此 需要 将 这 两 个 端口 号 手动 添加 进 
去 。 访 操作 会 立即 生效 ， 而 且 在 系统 重启 过 后 依然 有 效 。 设 置 








好 后 再 重启 httpd 服 务 程 序 ， 然 后 就 可 以 看 到 网 页 内 容 了 ， 结 果 
如 图 10-17 所 示 。 


[root@linuxprobe ~]# semanage port -a -t http_port_t -p 
tcp 6111 

[root@linuxprobe ~]# semanage port -a -t http_port_t -p 
tcp 6222 

[root@linuxprobe ~]# semanage port -1| grep http 
http_cache_port_t tcp 8080, 8118, 8123, 10001-10010 


http_cache_port_t udp 3130 

http_port_t tcp 6222, 6111, 80, 81, 443, 488, 8008, 80 
09, 8443, 9000 

pegasus http port t tcp 5988 

pegasus https port t tcp 5989 

[rootglinuxprobe ~]# systemctl restart httpd 
[root@linuxprobe ~]# firefox 
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图 10-17 基于 端口 号 访问 虚拟 主机 网 站 


10.6 Apache 的 访问 控制 





Apache 可 以 基于 源 主机 名 、 源 IP 地 址 或 源 主机 上 的 浏览 
特征 等 信息 对 网 站 上 的 资源 进行 访问 控制 。 它 通过 Allow 指 令 
允许 某 个 主机 访问 服务 器 上 的 网 站 资源 ， 通 过 Deny 指 令 实 现 
禁止 访问 。 在 允许 或 禁止 访问 网 站 资源 时 ， 还 会 用 到 Order 指 
令 ， 这 个 指令 用 来 定义 Allow 或 Deny 指 令 起 作用 的 顺序 ， 其 匹 
配 原 则 是 按照 顺序 进行 匹配 ， 寿 匹配 成 功 则 执行 后 面 的 默认 指 
令 。 比 如 “Order Allow, Deny” 表 示 先 将 源 主机 与 允许 规则 进行 
匹配 ， 知 匹配 成 功 则 允许 访问 请 求 ， 反 之 则 拒绝 访问 请 求 。 



































第 1 步 : 先 在 服务 器 上 的 网 站 数据 目录 中 新 建 一 个 子 目 
录 ， 并 在 这 个 子 日 录 中 创建 一 个 包含 Successful 单 词 的 首页 文 
件 。 


[root@linuxprobe ~]# mkdir /var/www/html/server 
[root@linuxprobe ~]# echo "Successful" > /var/www/html/ 
server/index. html 


第 2 步 : 打开 httpd 服 务 的 配置 文件 ， 在 第 129 行 后 面 添加 下 
述 规则 来 限制 源 主 机 的 访问 。 这 段 规 则 的 含义 是 允许 使 用 
Firefox 浏 览 器 的 主机 访问 服务 器 上 的 首页 文件 ， 除 此 之 外 的 所 
有 请 求 都 将 被 拒绝 。 使 用 Firefxo 浏 览 器 的 访问 效果 如 图 10-18 





所 示 。 


[root@linuxprobe ~]# vim /etc/httpd/conf/httpd.conf 
省 略 部 分 输出 信息 .………… 

129 <Directory "/var/www/html/server"> 

130 SetEnvIf User-Agent "Firefox" ff-1 

131 Order allow,deny 


132 Allow from env=ff 
133 «/Directory» 

省 略 部 分 输出 信息 .……… 
[root@linuxprobe ~]# systemctl restart httpd 
[root@linuxprobe ~]# firefox 





Mozilla Firefox 
File Edit View History Bookmarks Tools Help 
Jhttp://192.168.10.10/server/ X |t }Red Hat X | * | 


192.168.10.10 vB Q v Q 


图 10-18 ”火狐 浏览 器 成 功 访问 


除了 匹配 源 主机 的 浏览 器 特征 之 外 ， 还 可 以 通过 匹配 源 主 
机 的 IP 地 址 进行 访问 控制 。 例 如 ， 我 们 只 允许 IP 地 址 为 
192.168.10.20 的 主机 访问 网 站 资源 ， 那 么 就 可 以 在 httpd 服 务 配 
置 文件 的 第 129 行 后 面 添加 下 述 规则 。 这 样 在 重启 httpd 服 务 程 
序 后 再 用 本 机 ( 即 服务 器 ， 其 IP 地 址 为 192.168.10.10) 来 访问 
网 站 的 首页 面 时 就 会 提示 访问 被 拒绝 了 ， 如 网 10-19 所 示 。 

















[root@linuxprobe ~]# vim /etc/httpd/conf/httpd. conf 
v 省 略 部 分 输出 信息 .……… 


129 <Directory "/var/www/html/server"> 
130 Order allow,deny 

131 Allow from 192.168.10.20 

132 Order allow,deny 

133 Allow from env=ie 


134 </Directory> 

—À 省 略 部 分 输出 信息 .……… 

[root@linuxprobe ~]# systemctl restart httpd 
[root@linuxprobe ~]# firefox 





403 Forbidden -~ Mozilla Firefox 


File Edit View History Bookmarks Tools Help 


| £3403 Forbidden | + | 
192.168.10.10 v@ Hv jle Q v @ 
Forbidden 


You don't have permission to access /server/ on this server. 





图 10-19” 因 IP 地 址 不 符合 要 求 而 被 拒绝 访问 


F A 


1. 什么 是 Web 网 络 服务 ? 





答 : 一 种 允许 用 户 通过 浏览 右 访 问 到 互联 网 中 各 种 资源 的 
服务 。 








2. 相 较 于 Nginx 服 务 程序 ，Apache 服 务 程序 最 大 的 优势 是 
什么 ? 





Z: Apache 服 务 程 序 具 备 跨 平台 特性 、 安 全 性 ， 而 且 拥 有 
快速 、 可 靠 、 简 单 的 API 扩 展 。 





3. httpd 服 务 程序 没有 检查 到 首页 文件 ， 会 提示 报错 信息 
吗 ? 








答 : 不 会 ，httpd 服 务 在 未 找到 网 站 首页 文件 时 ， 会 同 访 客 
显示 一 个 默认 页 面 。 





4. 简 述 Apache 服 务 主 配置 文件 中 全 局 配置 参数 、 区 域 配 
置 参数 和 注释 信息 的 作用 。 





答 : 全 局 配置 参数 是 一 种 全 局 性 的 配置 参数 ， 可 作用 于 对 
所 有 的 子 站 点 ;区 域 配 置 参数 则 是 单独 针对 于 每 个 独立 的 子 站 
点 进行 设置 的 ;而 注释 信息 一 般 是 对 服务 程序 的 功能 或 茶 一 行 




















述 SELinux 服 务 的 作用 。 


Un 
或 
BE 








答 : 为 了 让 各 个 服务 进程 都 受到 约束 ， 使 其 仅 获 取 到 本 应 





6. 在 使 用 getenforce 命 令 查 看 SELinux 服 务 模式 时 ， 发 现 
其 配置 模式 为 permissive， 这 代表 强制 开启 模式 吗 ? 








答 : 不 是 ， 强 制 开启 模式 是 enforcing， 而 permissive 是 只 
发 出 警告 而 不 强制 拦截 的 模式 。 


Le stb Ce 令 修 改 了 文件 上 应 用 的 SELinux 安 全 
上 下 文 后 ， 还 需要 执行 什么 命令 才 可 以 让 更 改 立 即 生 效 ? 


答 : 还 需要 restorecon 命 令 即 可 让 新 的 SELinux 安 全 上 下 文 
参数 立即 生效 。 


8. 要 想 查 询 并 过 滤 出 所 有 与 HTTP 协 议 相 关 的 SELinux 域 
策略 有 哪些 ， 应 该 怎么 做 呢 ? 





: 可 以 结合 管道 符 来 实现 ， 即 执行 getsebool -a | grep 
nos ~ 








9. Apache 服 务 程 序 可 以 基于 哪些 资源 来 创建 虚拟 主机 网 


站 呢 ? 





t. 可 以 基于 了 地 址 、 主 机 名 《域名 ) kEm AS 8 SE 
拟 主机 网 站 。 





10. 相对 于 基于 IP 地 址 和 基于 主机 名 域名) 配置 的 虚拟 
主机 网 站 来 说 ， 使 用 端口 写 配 置 虚 
拟 主机 网 站 有 哪些 特点 ? 


答 : 在 使 用 端口 号 来 配置 虚拟 主机 网 站 时 ， 必 须要 考虑 到 
SELinux 域 对 httpd 服 务 程 序 所 用 端口 号 的 控制 策略 ， 还 要 在 
httpd 服 务 程序 的 主 配 置 文件 中 使 用 Listen 参 数 来 开局 要 监听 的 
端口 号 。 





第 11 章 ”使 用 vsftpd 服 务 传输 文件 







。 文件 传输 协议 ; 


e vsftpd 服 务 程序 ; 






。 简单 文件 传输 协议 。 





本 章 开 篇 讲解 了 什么 是 文件 传输 协议 (File Transfer 
Protocol, FTP) ， 以 及 如 何 部 署 vsftpd 服 务 程 序 ， 然 后 深度 剂 














析 了 vsftpd 主 配置 文件 中 最 第 用 的 参数 及 其 作用 ， 并 完整 演示 
了 vsftpd 服 务 程序 三 种 认证 模式 (匿名 开放 模式 、 本 地 用 户 模 
3X. REAP eS) 的 配置 方法 。 本 章 还 涵盖 了 可 插 拔 认证 模 
Ik (Pluggable Authentication Module, PAM) 的 原理 、 作 用 以 
及 实用 配置 方法 。 











读者 将 通过 本 章 介 绍 的 实战 内 容 进 一 步 练习 SELinux 服 务 
的 配置 方法 ， 掌 握 简 单 文件 传输 协议 (Trivial File Transfer 
Protocol，TFTP》 的 理论 及 配置 方法 ， 以 及 学 习 刘 道 老 师 在 服 
务 部 蜀 和 排 错 方面 的 经 验 技巧 ， 以 便 灵 活 应 对 生产 环境 中 过 到 


的 各 种 问题 。 


11.1 文件 传输 协议 


一 般 来 讲 ， 人 们 将 计算 机 联网 的 首要 目的 就 是 获取 资料 ， 
而 文件 传输 是 一 种 非常 重要 的 获取 资料 的 方式 。 今 天 的 互联 网 
是 由 几 千 万 台 个 人 计算 机 、 工 作 站 、 服 务 器 、 小 型 机 、 大 型 
机 、 巨 型 机 等 具有 不 同型 号 、 不 同 架 构 的 物理 设备 共同 组 成 
的 ， 而 且 即 便 是 个 人 计算 机 ， 也 可 能 会 装 有 Windows、 
Linux、UNIX、Mac 等 不 同 的 操作 系统 。 为 了 能 够 在 如 此 复杂 
多 样 的 设备 之 间 解 决 问题 解决 文件 传输 问题 ， 文 件 传输 协议 
(FTP) 应 运 而 生 。 

















FTP 是 一 种 在 互联 网 中 进行 文件 传输 的 协议 ， 基 于 客户 端 / 
服务 器 模式 ， 默 认 使 用 20、21 号 端口 ， 其 中 端口 20〈 数 据 端 
O) 用 于 进行 数据 传输 ， 端 口 21《〈 命 令 端 口 ) 用 于 接受 客户 端 
发 出 的 相关 FTP 命 令 与 参数 。FTP 服 务 器 普遍 部 署 于 内 网 中 ， 
具有 容易 搭建 、 方 便 管 理 的 特点 。 而 且 有 些 FTP 客 户 端 工具 还 
可 以 支持 文件 的 多 点 下 载 以 及 断 点 续 传 技术 ， 因 此 FTP 服 务 得 
到 了 广大 用 户 的 青睐 。FTP 协 议 的 传输 拓扑 如 图 11-1 所 示 。 

















= 数据 资料 


LE 
FTP 客户 端 FTP 服务 器 


图 11-1 _ FTP 协议 的 传输 拓扑 
FTP 服 务 器 是 按照 FTP 协 议 在 互联 网 上 提供 文件 存储 和 访 
问 服务 的 主机 ，EFTP 客 户 端 则 是 向 服务 器 发 送 连接 请 求 ， 以 建 
立 数据 传输 链 路 的 主机 。EFTP 协 议 有 下 面 两 种 工作 模式 。 




















e 主动 模式 : FTP 服 务 器 主动 向 客户 端 发 起 连接 请 求 。 
e 被动 模 式 : FTP 服 务 堪 等待 客户 端 发 起 连接 请 求 (FTP 的 
默认 工作 模式 ) 。 





第 8 革 在 学 习 防火 墙 服务 配 置 时 曾经 讲 过 ， 防 火 墙 一 般 是 
用 于 过 滤 从 外 网 进入 内 网 的 流量 ， 因 此 有 些 时 候 需 要 将 FTP 的 
工作 模式 设置 为 主动 模式 ， 才 可 以 传输 数据 。 


vsftpd (very secure ftp daemon， 非 常安 全 的 FTP 守 护 进 
FE) 是 一 天 运行 在 Linux 操 作 系统 上 的 FTP 服 务 程序 ， 不 仅 完 全 
开源 而 且 免 费 ， 此 外 ， 还 具有 很 高 的 安全 性 、 传 输 速 度 ， 以 及 
支持 虚拟 用 户 验 证 等 其 他 FTP 服 务 程 序 不 具备 的 特点 。 














在 配置 受 当 Yum 软 件 仓库 之 后 ， 就 可 以 安装 vsftpd 服 务 程 


FPS 


[root@linuxprobe ~]# yum install vsftpd 
Loaded plugins: langpacks, product-id, subscription-man 
ager 


Installing: 
vsftpd x86 64 3.0.2-9.e17 rhel 166 k 
Transaction Summary 


Install 1 Package 

Total download size: 166 k 

Installed size: 343 k 

Is this ok [y/d/N]: y 

Downloading packages: 

Running transaction check 

Running transaction test 

Transaction test succeeded 

Running transaction 

Installing : vsftpd-3.0.2-9.e17.x86 64 1/1 
Verifying : vsftpd-3.0.2-9.e17.x86 64 1/1 
Installed: 

vsftpd.x86 64 0:3.0.2-9.e17 

Complete! 





iptables KHE Z8 LE. SA SRE Y FTPA PP WCE m A 
号 ， 因 此 在 正式 配置 vsftpd 服 务 程序 之 前 ， 为 了 避免 这 些 默认 





的 防火 墙 策略 “捣乱 ?>， 还 需要 清空 iptables 防 火 墙 的 默认 策略 ， 
并 把 当前 已 经 被 清理 的 防火 墙 策略 状态 保存 下 来 : 


[root@linuxprobe ~]# iptables -F 
[root@linuxprobe ~]# service iptables save 


iptables: Saving firewall rules to /etc/sysconfig/iptab 
les:[ OK | 








vsftpd 服 务 程 序 的 主 配置 文件 C/etc/vsftpd/vsftpd.conf) 内 
容 总 长 度 达到 123 行 ， 但 其 中 大 多 数 参数 在 开头 都 添加 了 井 号 
(#) ， 从 而 成 为 注释 信息 ， 大 家 没有 必要 在 注释 信息 上 花费 
太 多 的 时 间 。 我 们 可 以 在 grep 命 令 后 面 添加 -v 参 数 ， 过 滤 并 反 
选 出 没有 包含 井 号 〈#) 的 参数 行 〈 即 过 滤 挥 所 有 的 注释 信 
AO ， 然 后 将 过 小 后 的 参数 行 通 过 输出 重 定 同 符 写 回 原始 的 主 
配置 文件 中 : 

















[root@linuxprobe ~]# mv /etc/vsftpd/vsftpd.conf /etc/vs 
ftpd/vsftpd.conf bak 

[root@linuxprobe ~]# grep -v "#" /etc/vsftpd/vsftpd.con 
f bak » /etc/vsftpd/vsftpd.conf 

[root@linuxprobe ~]# cat /etc/vsftpd/vsftpd. conf 
anonymous _enable=YES 

local_enable=YES 

write _enable=YES 

local_umask=022 

dirmessage enable=YES 

xferlog enable=YES 

connect_from_port_20=YES 

xferlog std_format=YES 


listen=NO 
listen_ipv6=YES 
pam_service_name=vsftpd 
userlist enable-YES 
tcp_wrappers=YES 











表 11-1 中 罗列 了 vsftpd 服 务 程 序 主 配置 文件 中 常用 的 参数 
以 及 作用 。 当 前 大 家 只 需要 简单 了 解 即 可 ， 在 后 续 的 实验 中 将 
演示 这 些 参数 的 用 法 ， 以 帮助 大 家 熟悉 并 掌握 。 





表 11-1 ” vsftpd 服务 程序 常用 的 参数 以 及 作用 


listen-[YES |NO] 是 否 以 独立 运行 的 方式 监听 服务 


listen_address=IP 地 址 设置 要 监听 的 卫 地 址 


listen_port=21 设置 FTP 服 务 的 监听 端 O 


download_enable=[YES |NO] 是 否 允 许 下 载 文件 


userlist enable=[YES |NO] 、 、 "T" a 
设置 用 户 列 表 为 “允许 ”还 是 “禁止 ”操作 


userlist_deny=[YES|NO] 





max_clients=0 


max_per_ip=0 


anonymous _enable=[YES|NO] 


anon_upload_enable=[YES|NO] 


anon umask-022 


anon root-/var/ftp 


anon mkdir write enable- 


[YES | NO] 


anon other write enable- 


[YES | NO] 


anon max rate-O 


local enable-[YES |NO] 


最 大 客户 端 连接 数 ，0 为 不 限制 


同一 JP 地 址 的 最 大 连接 数 ，0 为 不 限制 


是 否 允许 匿名 用 户 访 问 


是 否 允 许 匿名 用 户 上 传 文件 





匿名 用 户 上 传 文件 的 umask 值 


匿名 用 户 的 FTP 根 目录 





是 否 允许 匿名 用 户 创 建 目录 


是 否 开 放 匿 名 用 户 的 其 他 写 入 权限 (包括 
重 命 名 、 删 除 等 操作 权限 ) 


匿名 用 户 的 最 大 传输 速率 〈 字 市 / 秒 ),，0 
为 不 限制 


是 否 允 许 本 地 用 户 登录 FTP 





local_umask=022 


local_root=/var/ftp 


chroot_local_user=[YES|NO] 


local_max_rate=0 


本 地 用 户 上 传 文件 的 umask 值 


本 地 用 户 的 FTP 根 目录 


否 将 用 户 权 限 禁 铀 在 FTP 目录 ， 以 确保 


El 
AE 
> 
2 


dur KEES CFD), OW 
不 限制 





11.2 vsftpd 服务 程序 


vsftpd 作 为 更 加 安全 的 文件 传输 的 服务 程序 ， 人 允许 用 户 以 
三 种 认证 模式 登录 到 FTP 服 务 占 上 。 





。 匿 名 开放 模式 : 是 一 种 最 不 安全 的 认证 模式 ， 任 何人 都 可 
以 无 需 密码 验证 而 直接 登录 到 FTP 服 务 器 。 

本 地 用 户 模式 : 是 通过 Linux 系 统 本 地 的 账户 密码 信息 进 
行 认 证 的 模式 ， 相 较 于 匿名 开放 模式 更 安全 ， 而 且 配 置 起 
来 也 很 简单 。 但 是 如 果 被 黑客 破解 了 账户 的 信息 ， 就 可 以 
畅通 无 阻 地 登录 FTP 服 务 器 ， 从 而 完全 控制 整 台 服务 器 。 

虚拟 用 户 模式 : 是 这 三 种 模式 中 最 安全 的 一 种 认证 模式 ， 

它 需 要 为 FTP 服 务 单独 建立 用 户 数 据 库 文件 ， 虚 拟 出 用 来 
进行 口令 验证 的 账户 信息 ， 而 这 些 账户 信息 在 服务 器 系统 
中 实际 上 是 不 存在 的 ， 仅 供 FTP 服 务 程序 进行 认证 使 用 。 

这 样 ， 即 使 黑客 破解 了 账户 信息 也 无 法 登录 服务 器 ， 从 而 
有 效 降 低 了 破坏 范围 和 影响 。 





























ftp 是 Linux 系 统 中 以 命令 行 界面 的 方式 来 管理 FTP 传 输 服 
务 的 客户 端 工具 。 我 们 首先 手动 安装 这 个 ftp 客 户 端 工具 ， 以 便 
在 后 续 实 验 中 查看 结果 。 


[root@linuxprobe ~]# yum install ftp 











Loaded plugins: langpacks, product-id, subscription-man 
ager 
本 过 省 略 部 分 输出 信 sss 
Installing: 
ftp x86 64 0.17-66.e17 rhel 61 k 
Transaction Summary 


Install 1 Package 
Total download size: 61 k 
Installed size: 96 k 
Is this ok [y/d/N]: y 
Downloading packages: 
Running transaction check 
Running transaction test 
Transaction test succeeded 
Running transaction 
Installing : ftp-0.17-66.e17.x86 64 1/1 
Verifying : ftp-0.17-66.e17.x86 64 1/1 
Installed: 
ftp.x86 64 0:0.17-66.e17 
Complete! 





11.2.1 匿名 开放 模式 


前 文 提 到 ， 在 vsftpd 服 务 程序 中 ， 匿 名 开放 模式 是 最 不 安 
全 的 一 种 认证 模式 。 任 何人 都 可 以 无 需 密 码 验 证 而 直接 登录 到 
FTP 服 务 器 。 这 种 模式 一 般 用 来 访问 不 重要 的 公开 文件 (在 生 
产 环境 中 尽量 不 要 存放 重要 文件 ) 。 当 然 ， 如 果 采 用 第 8 章 中 
介绍 的 防火 墙 管理 工具 (如 Tcp_wrappers 服 务 程序 ) vsftpd 
服务 程序 允许 访问 的 主机 范围 设置 为 企业 内 网 ， 也 可 以 提供 基 
































本 的 安全 性 。 





vsftpd 服 务 程序 默认 开局 了 匿名 开放 模式 ， 我 们 需要 做 的 
就 是 开放 匿名 用 户 的 上 传 、 下 载 文 件 的 权限 ， 以 及 让 匿名 用 户 
创建 、 删 除 、 更 名 文件 的 权限 。 需 要 注意 的 是 ， 针 对 匿名 用 户 
放 开 这 些 权 限 会 之 来 潜在 危险 ， 我 们 只 是 为 了 在 Linux 系 统 中 
练习 配置 vsftpd 服 务 程 序 而 放 开 了 这 些 权 限 ， 不 建议 在 生产 环 
境 中 如 此 行事 。 表 11-2 罗 列 了 可 以 同 匿名 用 户 开 放 的 权限 参数 
以 及 作用 。 























表 11-2 ”可 以 同 匿名 用 户 开 放 的 权限 参数 以 及 作用 


匿名 用 户 上 传 文件 的 umask 值 


允许 匿名 用 户 修改 目录 名 称 或 删除 目录 





[root@linuxprobe ~]# vim /etc/vsftpd/vsftpd. conf 
anonymous_enable=YES 
anon umask-z022 
anon upload enable-zYES 
anon mkdir write enable-YES 
anon other write enable-YES 
local enable=YES 
write enable=YES 
local umaskz022 
dirmessage enable=YES 
xferlog enable=YES 
connect from port 20-YES 
xferlog std format=YES 
listenzNO 
listen ipv6-zYES 
pam service name-vsftpd 
userlist enable-YES 
tcp wrapperszYES 


1 
2 
3 
4 
5 
6 
7 
8 





在 vsftpd 服 务 程序 的 主 配 置 文件 中 正确 填写 参数 ， 然 后 保 
存 并 退出 。 还 需要 重 局 vsftpd 服 务 程 序 ， 让 新 的 配置 参数 生 
效 。 在 此 需要 提醒 各 位 读者 ， 在 生产 环境 中 或 者 在 RHCSA、 
RHCE 、RHCA 认证 考试 中 一 定 要 把 配置 过 的 服务 程序 加 入 到 
开机 启动 项 中 ， 以 保证 服务 器 在 重启 后 依然 能 够 正常 提供 传输 
服务 : 




















[root@linuxprobe ~]# systemctl restart vsftpd 
[root@linuxprobe ~]# systemctl enable vsftpd 


ln -s '/usr/lib/systemd/system/vsftpd.service' '/etc/sy 
stemd/system/multi-user. 
target.wants/vsftpd.service 
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了 。 在 vsftpd 服 务 程序 的 匿名 开放 认证 模式 下 ， 其 账户 统一 为 
anonymous， 蜜 码 为 衬 。 而 且 在 连接 到 FTP 服 务 器 后 ， 默 认 访 
问 的 是 /varftp 目 录 。 我 们 可 以 切换 到 该 目录 下 的 pub 目 录 中 ， 
然后 尝试 创建 一 个 新 的 目录 文件 ， 以 检验 是 否 拥 有 写 入 权限 : 








[root@linuxprobe ~]# ftp 192.168.10.10 
Connected to 192.168.10.10 (192.168.10.10). 
220 (vsFTPd 3.0.2) 

Name (192.168.10.10:root): anonymous 

331 Please specify the password. 
Password: 此 处 按 下 回 车 键 即 可 


230 Login successful. 

Remote system type is UNIX. 

Using binary mode to transfer files. 
ftp» cd pub 

250 Directory successfully changed. 
ftp» mkdir files 

550 Permission denied. 





系统 显示 拒绝 创建 目录 ! 我 们 明明 在 前 面 清空 iptablesD 
火 墙 策略 ， 而 且 也 在 vsftpd 服 务 程序 的 主 配置 文件 中 添加 了 人 允 
许 匿 名 用 户 创建 目录 和 写 入 文件 的 权限 啊 。 建 议 大 家 驳 不 要 着 
急 往 下 看 ， 而 是 自己 思考 一 下 这 个 问题 的 解决 办 法 ， 以 锻炼 您 
的 Linux 系 统 排 错 能 力 。 











前 文 提 到 ， 在 vsftpd 服 务 程序 的 匿名 开放 认证 模式 下 ， 默 
认 访 问 的 是 /var/ftp 目 录 。 查 看 该 目录 的 权限 得 知 ， 只 有 root 管 














理 员 才 有 写 入 权限 。 怪 不 得 系统 会 拒绝 操作 呢 ! 下 面 将 目录 的 
所 有 者 身份 改 成 系统 账户 ftp 即 可 《该 账户 在 系统 中 已 经 存 
TE) ， 这 样 应 该 可 以 了 吧 : 





[root@linuxprobe ~]# ls -1d /var/ftp/pub 
drwxr-xr-x. 3 root root 16 Jul 13 14:38 /var/ftp/pub 
[root@linuxprobe ~]# chown -Rf ftp /var/ftp/pub 
[root@linuxprobe ~]# ls -1d /var/ftp/pub 
drwxr-xr-x. 3 ftp root 16 Jul 13 14:38 /var/ftp/pub 
[root@linuxprobe ~]# ftp 192.168.10.10 

Connected to 192.168.10.10 (192.168.10.10). 

220 (vsFTPd 3.0.2) 

Name (192.168.10.10:root): anonymous 

331 Please specify the password. 
Password: 此 处 按 下 回 车 键 即 可 

230 Login successful. 

Remote system type is UNIX. 

Using binary mode to transfer files. 

ftp> cd pub 

250 Directory successfully changed. 

ftp» mkdir files 

550 Create directory operation failed. 





系统 再 次 报错 ! RBI EEA fps S XE A FTP ARS AF 
后 ， 再 创建 目录 时 系统 依然 提示 操作 失败 ， 但 是 报错 信息 却 发 
生 了 变化 。 在 没有 写 入 权限 时 ， 系 统 提示 “权限 拒 
#4” (Permission denied) 所 以 刘 毅 老师 怀疑 是 权限 的 问题 。 但 
现在 系统 提示 “创建 目录 的 操作 失败 ”(Create directory 
operation failed) ， 想 必 各 位 读者 也 应 该 意识 到 是 SELinux 服 务 














EAL” TIE. 


下 面 使 用 getsebool 命 令 碍 看 与 FTP 相 关 的 SELinux 域 策略 都 
有 哪些 : 


[root@linuxprobe ~]# getsebool -a | grep ftp 
ftp home dir --> off 

ftpd anon write --> off 

ftpd connect all unreserved --> off 
ftpd connect db --> off 
ftpd full access --> off 
ftpd use cifs --> off 
ftpd use fusefs --> off 
ftpd use nfs --» off 

ftpd use passive mode --> off 

httpd can connect ftp --> off 

httpd enable ftp server --> off 
sftpd anon write --» off 

sftpd enable homedirs --> off 
sftpd full access --> off 

sftpd write ssh home --> off 

tftp anon write --> off 

tftp home dir --» off 











我 们 可 以 根据 经 验 〈 需 要 长 期 增 养 ， 别 无 它 法 ) 和 策略 的 
名 称 判 断 出 是 ftpd_full_access--> off 策 略 规则 导致 了 操作 失 
败 。 接 下 来 修改 该 策略 规则 ， 并 且 在 设置 时 使 用 -P 参 数 让 修改 
过 的 策略 永久 和 生效， 确保 在 服务 器 重 局 后 依然 能 够 顺利 写 入 文 
f. 








[root@linuxprobe ~]# setsebool -P ftpd full access-on 


现在 便 可 以 顺利 执行 文件 创建 、 修 改 及 删除 等 操作 了 。 


再 次 提醒 各 位 读者 ， 在 进行 下 一 次 实验 之 前 ， 一 定 记得 将 虚拟 机 
还 原 到 最 初始 的 状态 ， 以 免 多 个 实验 相互 产生 冲突 。 








[root@linuxprobe ~]# ftp 192.168.10.10 
Connected to 192.168.10.10 (192.168.10.10). 
220 (vsFTPd 3.0.2) 

Name (192.168.10.10:root): anonymous 

331 Please specify the password. 
Password: 此 处 按 下 回 车 键 即 可 

230 Login successful. 

Remote system type is UNIX. 

Using binary mode to transfer files. 

ftp> cd pub 

256 Directory successfully changed. 

ftp» mkdir files 

257 "/pub/files" created 

ftp» rename files database 

350 Ready for RNTO. 

250 Rename successful. 

ftp» rmdir database 

250 Remove directory operation successful. 
ftp» exit 

221 Goodbye. 





11.2.2 ”本 地 用 户 模式 


相 较 于 匿名 开放 模式 ， 本 地 用 户 模式 要 更 安全 ， 而 且 配 置 
起 来 也 很 简单 。 如 果 大 家 之 前 用 的 是 匿名 开放 模式 ， 现 在 就 可 
以 将 它 天 了 ， 然 后 开启 本 地 用 户 模 式 。 针 对 本 地 用 户 模 式 的 权 
限 参数 以 及 作用 如 表 11-3 所 示 。 











表 11-3 ”本 地 用 户 模 式 使 用 的 权限 参数 以 及 作用 


本 地 用 户 模 式 创建 文件 的 umask 值 


局 用 “禁止 用 户 名 单 "， 名 单 文件 为 ftpusers 和 


userlist enable=YES 
user_list 


开局 用 户 作 用 名 单 文 件 功能 





[root@linuxprobe ~]# vim /etc/vsftpd/vsftpd. conf 
anonymous_enable=NO 
local_enable=YES 
write_enable=YES 

local umaskze22 
dirmessage enable=YES 
xferlog enable=YES 
connect from port 20-YES 
xferlog std formatzYES 

9 listen=NO 

10 listen_ipv6=YES 

11 pam_service_name=vsftpd 
12 userlist_enable=YES 

13 tcp_wrappers=YES 


1 
2 
3 
4 
5 
6 
7 
8 





在 vsftpd 服 务 程序 的 主 配置 文件 中 正确 填写 参数 ， 然 后 保 
存 并 退出 。 还 需要 重 局 vsftpd 服 务 程 序 ， 让 新 的 配置 参数 生 
效 。 在 执行 完 上 一 个 实验 后 还 原 了 虚拟 机 的 读者 ， 还 需要 将 配 
置 好 的 服务 添加 到 开机 启动 项 中 ， 以 便 在 系统 重启 自 后 依然 可 
以 正常 使 用 vsftpd 服 务 。 








[root@linuxprobe ~]# systemctl restart vsftpd 
[root@linuxprobe ~]# systemctl enable vsftpd 


In -s '/usr/lib/systemd/system/vsftpd.service' '/etc/sy 
stemd/system/multi-user. 
target.wants/vsftpd.service 





按理 来 讲 ， 现 在 已 经 完全 可 以 本 地 用 户 的 身份 登录 FTP 服 
务 器 了。 但 是 在 使 用 root 管 理 员 登录 后 ， 系 统 提示 如 下 的 错误 








mE 
Buty: 


[root@linuxprobe ~]# ftp 192.168.10.10 
Connected to 192.168.10.10 (192.168.10.10). 
220 (vsFTPd 3.0.2) 

Name (192.168.10.10:root): root 


530 Permission denied. 
Login failed. 
ftp» 





可 见 ， 在 我 们 输入 root 管 理 员 的 密码 之 前 ， 台 已 经 被 系统 
拒绝 访问 了 。 这 是 因为 vsftpd 服 务 程序 所 在 的 目录 中 默认 存放 
着 两 个 名 为 “用 户 名 单 ” 的 文件 Basie list) 。 不 知道 
大 家 是 否 已 看 过 一 部 日 本 电影 “死亡 笔记 ”(〈 刘 遂 老 师 在 上 学 期 

间 的 最 爱 ) ， UE MD 的 小 本 子 ， 只 要 将 别 
人 的 名 字 写 进去 ， 这 人 就 会 挂 掉 。vsftpd 服 务 程 序 目录 中 的 这 
两 个 文件 也 有 类 似 的 功能 只 要 里 面 号 有 某 位 用 户 的 名 字 ， 
就 不 再 允许 这 位 用 户 登 录 到 FTP 服 务 器 上 。 



































[root@linuxprobe ~]# cat /etc/vsftpd/user_list 

1 # vsftpd userlist 

2 # If userlist_deny=NO, only allow users in this file 

3 # If userlist_deny=YES (default), never allow users i 

n this file, and 

4 # do not even prompt for a password. 

5 # Note that the default vsftpd pam config also checks 
/etc/vsftpd/ftpusers 

6 # for users that are denied. 

7 root 


8 bin 

9 daemon 

10 adm 

11 lp 

12 sync 

13 shutdown 

14 halt 

15 mail 

16 news 

17 uucp 

18 operator 
19 games 

20 nobody 
[root@linuxprobe ~]# cat /etc/vsftpd/ftpusers 

# Users that are not allowed to login via ftp 

root 

bin 

daemon 
adm 

lp 

sync 
shutdown 
halt 

mail 

news 
uucp 
operator 
games 
nobody 
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果然 如 此 ! vsftpd ik FEF Y FRUER IS 8 HO E TE T EK 
认 茶 止 了 root 管 理 员 和 大 多 数 系统 用 户 的 登录 行为 ， 这 样 可 以 
有 效 地 避免 黑客 通过 FTP 服 务 对 root 省 理 员 密 码 进行 暴力 破 








ib 如 果 您 确认 在 生产 环境 中 使 用 root 管 理 员 不 会 对 系统 安全 

生 影 响 ， 只 需 按照 上 面 的 提示 删除 挥 root 用 户 名 即 可 。 我 们 

Aenean i, list 文 件 中 没有 的 一 个 普通 用 户 尝 试 
登录 FIP 服务 器 : 





[root@linuxprobe ~]# ftp 192.168.10.10 
Connected to 192.168.10.10 (192.168.10.10). 
220 (vsFTPd 3.0.2) 

Name (192.168.10.10:root): linuxprobe 

331 Please specify the password. 
Password: 此 处 输入 该 用 户 的 密码 


236 Login successful. 

Remote system type is UNIX. 

Using binary mode to transfer files. 
ftp» mkdir files 

550 Create directory operation failed. 








在 采用 本 地 用 户 模 式 登 录 FTP 服 务 器 后 ， 默 认 访 问 的 是 该 
用 户 的 家 目录 ， 也 就 是 说 ， 访 问 的 是 home/linuxprobe 上 目录。 而 
且 该 目录 的 默认 所 有 者 、 所 属 组 都 是 该 用 户 目 己 ， 因 此 不 存在 
写 入 权限 不 足 的 情况 。 但 是 当前 的 操作 仍然 被 拒绝 ， 是 因为 我 
们 刚才 将 虚拟 机 系统 还 原 到 最 初 的 状态 了 。 为 此 ， 需 要 再 次 开 
启 SELinux 域 中 对 FTP 服 务 的 允许 策略 : 




















[root@linuxprobe ~]# getsebool -a | grep ftp 
ftp_home_dir --> off 

ftpd anon write --> off 

ftpd connect all unreserved --> off 

ftpd connect db --> off 


ftpd full access --> off 
ftpd use cifs --» off 
ftpd use fusefs --> off 

ftpd use nfs --» off 

ftpd use passive mode --> off 
httpd can connect ftp --> off 
httpd enable ftp server --> off 
sftpd anon write --> off 

sftpd enable homedirs --> off 
sftpd full access --> off 

sftpd write ssh home --> off 
tftp anon write --> off 

tftp home dir --> off 
[rootglinuxprobe ~]# setsebool -P ftpd full access-on 
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后 就 会 按照 原 有 的 策略 进行 控制 ， 从 而 导致 配置 过 的 服务 无 法 
使 用 。 














在 配置 妥当 后 再 使 用 本 地 用 户 答 试 登录 下 FTP 服务 器 ， 分 
别 执行 文件 的 创建 、 重 命名 及 删除 等 命令 。 操 作 均 成 功 ! 





[root@linuxprobe ~]# ftp 192.168.10.10 
Connected to 192.168.10.10 (192.168.10.10). 
220 (vsFTPd 3.0.2) 

Name (192.168.10.10:root): linuxprobe 

331 Please specify the password. 
Password: 此 处 输入 该 用 户 的 密码 

230 Login successful. 

Remote system type is UNIX. 


Using binary mode to transfer files. 

ftp» mkdir files 

257 "/home/linuxprobe/files" created 

ftp» rename files database 

350 Ready for RNTO. 

250 Rename successful. 

ftp» rmdir database 

250 Remove directory operation successful. 
ftp» exit 

221 Goodbye. 





11.2.3 ”虚拟 用 户 模式 


我 们 最 后 讲解 的 虚拟 用 户 模 式 是 这 三 种 模式 中 最 安全 的 
种 认证 模式 ， 当 然 ， 因 为 安全 性 较 之 于 前 面 两 种 模式 有 了 提 
升 ， 所 以 配置 流程 也 会 稍微 复杂 一 些 。 

















第 1 步 : 创建 用 于 进行 FTP 认 证 的 用 户 数 据 库 文件 ， 其 中 
奇数 行为 账户 名 ， 偶 数 行为 密码 。 例 如 ， 我 们 分 别 创建 出 
zhangsan 和 lisi 两 个 用 户 ， 密 人 码 均 为 redhat: 


[root@linuxprobe ~]# cd /etc/vsftpd/ 
[root@linuxprobe vsftpd]# vim vuser.list 
zhangsan 


redhat 
lisi 
redhat 





但 是 ， 明 文 信息 既 不 安全 ， 也 不 符合 让 vsftpd 服 务 程序 直 








接 加 载 的 格式 ， 因 此 需要 使 用 db_load 命 令 用 哈 希 Cash) 算法 
将 原始 的 明文 信息 文件 转换 成 数据 库 文件 ， 并 且 降 低 数据 库 文 
件 的 权限 (避免 其 他 人 看 到 数据 库 文 件 的 内 容 ) ， 然 后 再 把 原 
始 的 明文 信息 文件 删除 。 


[root@linuxprobe vsftpd]# db load -T -t hash -f vuser.1 
ist vuser.db 
[root@linuxprobe vsftpd]# file vuser.db 


vuser.db: Berkeley DB (Hash, version 9, native byte-ord 
er) 

[root@linuxprobe vsftpd]# chmod 600 vuser.db 
[root@linuxprobe vsftpd]# rm -f vuser.list 











第 2 步 : 创建 vsftpd 服 务 程序 用 于 存储 文件 的 根 目 录 以 及 虚 
拟 用 户 映射 的 系统 本 地 用 户 。FTP 服 务 用 于 存储 文件 的 根 目 录 
指 的 是 ， 当 虚拟 用 户 登 录 后 所 访问 的 默认 位 置 。 


由 于 Linux 系 统 中 的 每 一 个 文件 都 有 所 有 者 、 所 属 组 属 

性 ， 例 如 使 用 虚拟 账户 “ 张 三 ? 新 建 了 一 个 文件 ， 但 是 系统 中 找 
不 到 账户 “ 张 三 ”， 就 会 导致 这 个 文件 的 权限 出 现 错误 。 为 此 ， 
需要 再 创建 一 个 可 以 映射 到 虚拟 用 户 的 系统 本 地 用 户 。 简 单 来 
说 ， 束 是 让 虚拟 用 户 默 认 登 录 到 与 之 有 了 映射 关系 的 这 个 系统 本 
地 用 户 的 家 目录 中 ， 虚 拟 用 户 创建 的 文件 的 属性 也 都 归属 于 这 
个 系统 本 地 用 户 ， 从 而 避免 Linux 系 统 无 法 处 理 虚 拟 用 户 所 创 
建文 件 的 属性 权限 。 











为 了 方便 管理 FTP 服 务 器 上 的 数据 ， 可 以 把 这 个 系统 本 地 
用 户 的 家 目录 设置 为 /Var 目录 (该 目录 用 来 存放 经 常 发 生 改变 
的 数据 ) 。 alendis quu 我 们 将 这 个 系统 本 地 用 户 设置 
为 不 允许 登录 FTP 服 务 器 ， 这 不 会 影响 虚拟 用 户 登 录 ， 而 且 还 
可 以 避免 黑客 通过 这 个 DE 4T ERR e 























[root@linuxprobe ~]# useradd -d /var/ftproot -s /sbin/n 
ologin virtual 
[root@linuxprobe ~]# ls -ld /var/ftproot/ 

. 3 virtual virtual 74 Jul 14 17:50 /var/ftpr 





[rootglinuxprobe ~]# chmod -Rf 755 /var/ftproot/ 


第 3 步 : 建 并 用 于 文 持 虚拟 用 户 的 PAM 文 件 。 


PAM (可 搬 拔 认证 模块 是 一 种 认证 机 制 ， 通 过 一 些 动态 
链接 库 和 统一 的 API 把 系统 提供 的 服务 与 认证 方式 分 开 ， 使 得 
系统 管理 员 可 以 根据 需求 灵活 调整 服务 程序 的 不 同 认 证 方式 。 
要 想 把 PAM 功 能 和 作用 完全 讲 透 ， 至 少 要 一 个 章节 的 篇 幅 才 
可 以 《对 该 主题 感 兴趣 的 读者 敬 请 关注 本 书 的 进 阶 篇 ， 里 面 会 
详细 讲解 PAM) 。 








通俗 来 讲 ，PAM 是 一 组 安全 机 制 的 模块 ， 系 统管 理 员 可 以 
用 来 轻易 地 调整 服务 程序 的 认证 方式 ， 而 不 必 对 应 用 程序 进行 
任何 修改 。PAM 采 取 了 分 层 设计 (应 用 程序 层 、 应 用 接口 
层 、 鉴 别 模块 层 ) 的 思想 ， 其 结构 如 图 11-2 所 示 。 


应 用 3 | m 


”应 用 接口 导 





图 11-2 ” PAM 的 分 层 设计 结构 


新 建 一 个 用 于 虚拟 用 户 认 证 的 PAM 文 件 vsftpd.vu， 其 中 
PAM 文 件 内 的 “db=” 参 数 为 使 用 db_load 命 令 生 成 的 账户 密码 数 
据 库 文件 的 路 径 ， 但 不 用 写 数 据 库 文件 的 后 绥 : 








[root@linuxprobe ~]# vim /etc/pam.d/vsftpd.vu 
auth required pam_userdb.so db=/etc/vsftpd/vu 


ser 
account required pam_userdb.so db=/etc/vsftpd/vu 
ser 








第 4 步 : 在 vsftpd 服 务 程序 的 主 配 置 文件 中 通过 





pam_service_name 参 数 将 PAM 认 证 文件 的 名 称 修 改 为 
vsftpd.vu，PAM 作 为 应 用 程序 层 与 鉴别 模块 层 的 连接 纽 市 ， 可 
以 让 应 用 程序 根据 需求 灵活 地 在 自身 插入 所 需 的 鉴别 功能 模 
块 。 当 应 用 程序 需要 PAM 认 证 时 ， 则 需要 在 应 用 程序 中 定义 
负责 认证 的 PAM 配 置 文件 ， 实 现 所 需 的 认证 功能 。 














例如 ， 在 vsftpd 服 务 程序 的 主 配置 文件 中 默认 束 带 有 参数 
pam_service_name=vsftpd， 表 示 登 录 FTP 服 务 器 时 是 根 
据 /etc/pam.d/vsftpd 文 件 进行 安全 认证 的 。 现 在 我 们 要 做 的 就 是 
把 vsftpd 主 配置 文件 中 原 有 的 PAM 认 证 文件 vsftpd 修 改 为 新 建 
的 vsftpd.vu 文 件 即 可 。 该 操作 中 用 到 的 参数 以 及 作用 如 表 11-4 
所 示 。 





表 11-4 ”利用 PAM 文 件 进 行 认证 时 使 用 的 参数 以 及 作用 


作用 


anonymous_enable=NO 禁止 匿名 开放 模式 








参数 





guest_username=virtual 指定 虚拟 用 户 账 户 


pam_service_name=vsftpd. vu 指 定 PAM 文 件 


允许 对 禁 铀 的 FTP 根 目录 执行 写 入 操作 ， 而 
且 不 拒绝 用 户 的 登录 请 求 


allow writeable chroot=YES 


[root@linuxprobe ~]# vim /etc/vsftpd/vsftpd.conf 
anonymous enablezNO 
local enable=YES 
guest enable-YES 
guest username-virtual 
allow writeable chroot-YES 
write _enable=YES 
local umaskz022 
dirmessage enable=YES 
xferlog enable=YES 
connect from port 20-YES 
xferlog std format-zYES 
listenzNO 
listen ipv6-YES 
pam service name-vsftpd.vu 
userlist enable-YES 
tcp wrapperszYES 


1 
2 
3 
4 
5 
6 
7 
8 
9 








第 5 步 : 为 虚拟 用 户 设 置 不 同 的 权限 。 虽 然 账户 zhangsan 
和 1lisi 都 是 用 于 vsftpd 服 务 程 序 认 证 的 虚拟 账户 ， 但 是 我 们 依然 
想 对 这 两 人 进行 区 别 对 待 。 比 如 ， 人 允许 张 三 上 传 、 创 建 、 修 





改 、 查 看 、 删 除 文件 ， 只 人 允许 李 四 查 看 文件 。 这 可 以 通过 
vsftpd 服 务 程序 来 实现 。 只 需 新 建 一 个 目录 ， 在 里 面 分 别 创建 
两 个 以 zhangsan 和 lisi 命 名 的 文件 ， 其 中 在 名 为 zhangsan 的 文件 
中 写 入 允许 的 相关 权限 (使 用 匿名 用 户 的 参数 ): 





[root@linuxprobe ~]# mkdir /etc/vsftpd/vusers dir/ 
[rootglinuxprobe ~]# cd /etc/vsftpd/vusers dir/ 
[root@linuxprobe vusers dir]|# touch lisi 


[root@linuxprobe vusers_dir]# vim zhangsan 
anon upload enable-YES 

anon mkdir write enable-YES 

anon other write enable-YES 





然后 再 次 修改 vsftpd 主 配置 文件 ， 通 过 添加 user_config_dir 
参数 来 定义 这 两 个 虚拟 用 户 不 同 权 限 的 配置 文件 所 存放 的 路 
径 。 为 了 让 修改 后 的 参数 立即 生效 ， 需 要 重 局 vsftpd 服 务 程序 
并 将 该 服务 添加 到 开机 局 动 项 中 : 

















[root@linuxprobe ~]# vim /etc/vsftpd/vsftpd. conf 
anonymous enablezNO 

local enable-YES 

guest enablezYES 

guest username-zvirtual 
allow writeable chroot=YES 
write enable-YES 

local umaskz022 

dirmessage enable=YES 
xferlog enable=YES 
connect from port 20-YES 
xferlog std formatzYES 


listen=NO 

listen_ipv6=YES 

pam_service_name=vsftpd. vu 

userlist enable-YES 

tcp_wrappers=YES 

user config dir-/etc/vsftpd/vusers dir 
[root@linuxprobe ~]# systemctl restart vsftpd 
[root@linuxprobe ~]# systemctl enable vsftpd 
In -s '/usr/lib/systemd/system/vsftpd.service' '/etc/sy 
stemd/system/multi- 
user.target.wants/vsftpd.service 





第 6 步 : 设置 SELinux 域 允许 策略 ， 然 后 使 用 虚拟 用 户 模式 
登录 FTP 服 务 器 。 相 信 大 家 可 以 猜 到 ，SELinux 会 继续 来 揭 
乱 。 所 以 ， 先 按照 前 面 实验 中 的 步骤 开启 SELinux 域 的 允许 策 
略 ， 以 免 再 次 出 现 操作 失败 的 情况 : 








[root@linuxprobe ~]# getsebool -a | grep ftp 
ftp home dir -> off 

ftpd anon write -> off 

ftpd connect all unreserved -> off 
ftpd connect db -» off 
ftpd full access -> off 
ftpd use cifs -> off 
ftpd use fusefs -> off 

ftpd use nfs -> off 

ftpd use passive mode -> off 

httpd can connect ftp -> off 

httpd enable ftp server -> off 
sftpd anon write -> off 

sftpd enable homedirs -> off 
sftpd full access -> off 


sftpd_write_ssh_home -> off 

tftp_anon_write -> off 

tftp_home_dir -> off 

[root@linuxprobe ~]# setsebool -P ftpd full access-on 





此 时 ， 不 但 可 以 使 用 虚拟 用 户 模式 成 功 登录 到 FTP 服务 
器 ， 还 可 以 分 别 使 用 账户 zhangsan 和 lisi 来 检验 他 们 的 权限 。 当 
然 ， 读 者 在 生产 环境 中 一 定 要 根据 真实 需求 来 灵活 配置 参数 ， 
不 要 照搬 这 里 的 实验 操作 。 




















[root@linuxprobe ~]# ftp 192.168.10.10 
Connected to 192.168.10.10 (192.168.10.10). 
220 (vsFTPd 3.0.2) 

Name (192.168.10.10:root): lisi 

331 Please specify the password. 
Password: JE Abi A i 30.3 J^ ER] 2 d 

230 Login successful. 

Remote system type is UNIX. 

Using binary mode to transfer files. 
ftp» mkdir files 

550 Permission denied. 

ftp» exit 

221 Goodbye. 


[rootglinuxprobe ~]# ftp 192.168.10.10 
Connected to 192.168.10.10 (192.168.10.10). 
220 (vsFTPd 3.0.2) 

Name (192.168.10.10:root): zhangsan 

331 Please specify the password. 
Password: 此 处 输入 虚拟 用 户 的 密码 

230 Login successful. 

Remote system type is UNIX. 


Using binary mode to transfer files. 
ftp» mkdir files 

257 "/files" created 

ftp» rename files database 

350 Ready for RNTO. 

250 Rename successful. 

ftp» rmdir database 

250 Remove directory operation successful. 
ftp» exit 
221 Goodbye. 





11.3 ”简单 文件 传输 协议 


简单 文件 传输 协议 (Trivial File Transfer Protocol, TFTP) 

是 一 种 基于 UDP 协议 在 客户 端 和 服务 器 之 间 进 行 简单 文件 传输 

的 协议 。 顾 名 思 义 ， 它 提供 不 复杂 、 开 销 不 大 的 文件 传输 服务 
(可 将 其 当 作 FTP 协 议 的 简化 版 本 ) 。 


TFTP 的 命令 功能 不 如 FTP 服 务 强大 ， 甚 至 不 能 遍历 目录 ， 
在 安全 性 方面 也 弱 于 FTP 服 务 。 而 且 ， 由 于 TFTP 在 传输 文件 时 
采用 的 是 UDP 协议 ， 占 用 的 端口 号 为 69， 因 此 文件 的 传输 过 程 
也 不 像 FTP 协 议 那 样 可 靠 。 但 是 ， 因 为 TFTP 不 需要 客户 端的 权 
限 认 证 ， 也 就 减少 了 无 谓 的 系统 和 网 络 带宽 消耗 ， 因 此 在 传输 
琐碎 (trivial) 不 大 的 文件 时 ， 效 率 更 高 。 


接 下 来 在 系统 上 安装 TFTP 的 软件 包 ， 进 行 体验 。 





[root@linuxprobe ~]# yum install tftp-server tftp 
Loaded plugins: langpacks, product-id, subscription-man 
ager 

oum 省 略 部 分 输出 信 sss 

Installing: 

tftp x86 64 5.2-11.e17 rhel 35 k 

tftp-server x86 64 5.2-11.e17 rhel 44 k 

Installing for dependencies: 

xinetd x86 64 2:2.3.15-12.e17 rhel 128 k 

Transaction Summary 


Install 2 Packages (+1 Dependent package) 

Total download size: 207 k 

Installed size: 373 k 

Is this ok [y/d/N]: y 

Downloading packages: 

dadas 省 略 部 分 输出 信息 .………… 

Installed: 

tftp.x86 64 0:5.2-11.e17 tftp-server.x86 64 0:5.2-11.e 
17 


Dependency Installed: 
xinetd.x86 64 2:2.3.15-12.e17 
Complete! 











在 RHEL 7 系统 中 ，TFTP 服 务 是 使 用 xinetd 服 务 程序 来 管 
理 的 。xinetd 服 务 可 以 用 来 管理 多 种 轻 量 级 的 网 络 服务 ， 而 且 
其 有 强大 的 日 志 功 能 。 简 单 来 说 ， 在 安装 TFTP 软 件 包 后 ， 还 
需要 在 xinetd 服 务 程序 中 将 其 开启 ， 把 默认 的 禁用 (disable) 
参数 修改 为 no: 

















[root@linuxprobe ~.d]# vim /etc/xinetd.d/tftp 
service tftp 


{ 
socket_type = dgram 
protocol = udp 
wait = yes 
user = root 
server = /usr/sbin/in.tftpd 
server_args = -s /var/lib/tftpboot 
disable = no 
per_source = 11 


cps = 100 2 


flags = IPvA 


然后 ， 重 局 xinetd 服 务 并 将 它 添加 到 系统 的 开机 局 动 项 
中 ， 以 确保 TFTP 服 务 在 系统 重 局 后 依然 处 于 运行 状态 。 考 虑 
到 有 些 系统 的 防火 增 默 认 没 有 允许 UDP 协 议 的 69 端 口 ， 因 此 需 
要 手动 将 该 端口 号 加 入 到 防火 场 的 允许 策略 中 : 





[root@linuxprobe ~]# systemctl restart xinetd 
[root@linuxprobe ~]# systemctl enable xinetd 
[root@linuxprobe ~]# firewall-cmd --permanent --add-por 


t=69/udp 

success 

[root@linuxprobe ~]# firewall-cmd --reload 
success 





TFTP 的 根 目 录 为 /var/lib/tftpboot。 我 们 可 以 使 用 刚 安装 好 
的 tftp 命 令 尝 试 访问 其 中 的 文件 ， 亲 里 体验 TFTP 服 务 的 文件 传 
输 过 程 。 在 使 用 tftp 命 令 访 问 文件 时 ， 可 能 会 用 到 表 11-5 中 的 








表 11-5 ”tftp 命 令 中 可 用 的 参数 以 及 作用 





put See a 


下 载 文件 

显示 详细 的 处 理 信 息 
显示 当前 的 状态 信息 
使 用 二 进 制 进行 传输 
使 用 ASCII 码 进行 传输 
设置 重 传 的 超时 时 间 


[root@linuxprobe ~]# echo "i love linux" > /var/lib/tft 
pboot/readme.txt 

[root@linuxprobe ~]# tftp 192.168.10.10 

tftp> get readme.txt 

tftp> quit 

[root@linuxprobe ~]# ls 

anaconda-ks.cfg Documents initial-setup-ks.cfg Pictu 
res readme.txt Videos 

Desktop Downloads Music Publi 








C Templates 
[root@linuxprobe ~]# cat readme.txt 


i love linux 





当然 ，TETP 服 务 的 玩法 还 不 止 于 此 ， 第 19 章 会 将 TFTP 服 
与 其 他 软件 相 搭配 ， 组 合 出 一 套 完 整 的 自动 化 部 署 系统 方 


。 大 家 继续 加 油 ! 





务 
E 


复习 题 
1. 简 述 FTP 协 议 的 功能 作用 以 及 所 占用 的 端口 号 。 


答 : FTP 是 一 种 在 互联 网 中 进行 文件 传输 的 协议 ， 默 认 使 
用 20、21 号 端口 ， 其 中 端口 20〈 数 据 端 口 ) 用 于 进行 数据 传 
输 ， 端 口 21〈 命 令 端口 ) 用 于 接受 客户 端 发 起 的 相关 FTP 命 令 





2. vsftpd 服 务 程序 提供 的 三 种 用 户 认 证 模式 各 目 有 什么 特 








答 ; 匿名 开放 模式 是 任何 人 都 可 以 无 需 密码 认证 即 可 直接 
登录 到 FTP 服 务 器 的 验证 方式 ， 本 地 用 户 模式 是 通过 系统 本 地 
的 账户 密码 信息 登录 到 FTP 服 务 器 的 认证 方式 ， 虚 拟 用 户 模 式 
是 通过 创建 独立 的 FTP 用 户 数 据 库 文件 来 进行 认证 并 登录 到 
FTP 服 务 器 的 认证 方式 ， 相 较 来 说 它 也 是 最 安全 的 认证 模式 。 


























3. 使 用 匿名 开放 模式 登录 到 一 台 用 vsftpd 服 务 程序 部 署 
的 FTP 服 务 器 上 上 时， 默认 的 FTP 根 目录 是 什么 ? 





答 : 使 用 匿名 开放 模式 登录 后 的 FTP 根 目录 是 /var/ftp 日 
录 ， 该 目录 内 默认 还 会 有 一 个 名 为 pub 的 子 目 录 。 





4. 简 述 PAM 的 功能 作用 。 


X. 


Le 





PAM;É —2H EAL ER GE ， 系 统管 理 员 


可 以 用 来 轻易 地 调整 服务 程序 的 认证 方式 ， 而 不 必 对 应 用 程序 
进行 过 多 修改 。 





5. 使 用 虚拟 用 户 模式 登录 FTP 服 务 器 的 所 有 用 户 的 权限 
都 是 一 样 的 吗 ? 


答 : 不 一 定 ， 可 以 通过 分 别 定 义 用 户 权限 文件 来 为 每 一 位 
用 户 设置 不 同 的 权限 。 


6. TFTP 协 议 与 FTP 协 议 有 什么 不 同 ? 


AE 
Lie 


TFTP 协 议 提供 不 复杂 、 开 销 不 大 的 文件 传输 服务 
(可 将 其 当 作 FTP 协 议 的 简化 版 本 ) 。 





第 12 革 ”使 用 Samba 或 NFS 实 现 文 件 共 享 






e Samba 文 件 共 享 服务 ; 


e NFS (网 络 文件 系统 ) ，; 






e autofs 上 自动 挂 载 服务 。 








本 章 首 先 通过 比较 文件 传输 和 文件 共享 这 两 种 资源 交换 方 
式 来 引入 Samba 服 务 的 理论 知识 ， 并 介绍 SMB 协 议 与 Samba 服 











务 程序 的 起 源 和 友 展 过 程 。 然 后 通过 实验 的 方式 部 署 文 件 共享 
服务 来 深入 了 解 Samba 服 务 中 相关 参数 的 作用 ， 并 在 实验 最 后 
分 别 使 用 Windows 系 统 和 Linux 系 统 访问 共享 的 文件 资源 ， 确 
保 读者 彻底 掌握 文件 共享 服务 的 配置 方法 











本 音 还 讲解 了 如 何 配置 网 络 文件 系统 (Network File 
System, NFS) 服务 来 简化 Linux 系 统 之 间 的 文件 共享 工作 ， 
以 及 通过 部 团 NFS 服 务 在 多 台 Linux 系 统 之 则 挂 载 并 使 用 资 
源 。 在 管理 设备 挂 载 信息 时 ， 使 用 autofs 服 务 不 仅 可 以 正 第 满 
足 设备 挂 载 的 使 用 需求 ， 还 能 进一步 提高 服务 器 硬件 资源 和 网 














络 带 宽 的 利用 率 。 


刘 租 老师 相信 ， 当 各 位 读者 认真 学 习 完 本 章 内 容 之 后 ， 
定 会 深刻 理解 在 Linux 系 统 之 间 共 享 文件 资源 以 及 在 Linux 系 统 
与 Windows 系 统 之 间 共 享 文件 资源 的 工作 机 制 ， 并 彻底 掌握 相 


应 的 配置 方法 。 














12.1 Samba 文 件 共 享 服务 


上 一 章 讲 解 的 FTP 文 件 传输 服务 确实 可 以 让 主机 之 间 的 文 
件 传输 变 得 简单 方便 ， 但 是 FTP 协 议 的 本 质 是 传输 文件 ， 而 非 
共 至 文件 ， 因 此 要 想 通 过 客户 端 直 接 在 服务 上 器 上 修改 文件 内 容 
还 是 一 件 比 较 抹 烦 的 事情 。 











1987 年 ， 微 软 公 司 和 英特尔 公司 共同 制定 了 SMB (Server 
Messages Block, Ak 81H IER) ivt F1 TERI UR Je) et Pod A HS 
文件 或 打印 机 等 资源 的 共享 问题 ， 这 也 使 得 在 多 个 主机 之 间 共 
享 文件 变 得 越 来 越 简单 。 到 了 1991 年 ， 当 时 还 在 读 大 学 的 
Tridgwell 为 了 解决 Linux 系 统 与 Windows 系 统 之 间 的 a E 
问题 ， 基 于 SMB 协 议 开 发 出 了 SMBServer 服 务 程 序 。 这 是 一 款 
开源 的 文件 共享 软件 ， 经 过 人 简 ee 统 
Windows 系 统 之 间 的 文件 共享 工作 。 当 时 ，Tridgwell 想 把 这 
软件 的 名 字 SMBServer 注 册 成 为 商标 ， 但 却 被 商标 局 o 
没有 意义 的 字符 而 拒绝 了 申请 。 后 来 Tridgwell 不 断 翻 看 词典 ， 
突然 看 到 一 个 拉丁 舞 踊 的 名 字 一 一 Samba， 而 且 这 个 热情 详 游 
的 舞蹈 名 字 中 又 恰好 包含 了 “SMB”， 于 是 Samba 服 务 程序 的 名 
字 由 此 诞生 《〈 见 图 12-1) 。Samba 服 务 程序 现在 已 经 成 为 在 
Linux 系 统 与 Windows 系 统 之 间 共 享 文件 的 最 佳 选 择 。 






































图 12-1 Samba 服务 程序 的 logo 
Samba 服 务 程序 的 配置 方法 与 之 前 讲解 的 很 多 服务 的 配置 
方法 类 似 ， 首 先 需要 先 通 过 Yum 软 件 仓库 来 安装 Samba 服 务 程 
序 〈(Samba 服 务 程序 的 名 字 也 恰巧 是 软件 包 的 名 字 ): 














[root@linuxprobe ~ ]# yum install samba 
Loaded plugins: langpacks, product-id, subscription-man 


ager 
eens 省 略 部 分 输出 信 sss 
Installing: 


samba x86 64 4.1.1-31.e17 rhel 527 k 
Transaction Summary 


Install 1 Package 

Total download size: 527 k 
Installed size: 1.5 M 

Is this ok [y/d/N]: y 
Downloading packages: 
Running transaction check 
Running transaction test 


Transaction test succeeded 
Running transaction 

Installing : samba-4.1.1-31.e17.x86 64 1/1 
Verifying : samba-4.1.1-31.e17.x86 64 1/1 
Installed: 

samba.x86 64 0:4.1.1-31.e17 
Complete! 





安装 完毕 后 打开 Samba 服 务 程序 的 主 配置 文件 ， 发 现 竟 然 
有 320 行 之 多 ! 有 没有 被 吓 到 ?但 仔细 一 看 就 会 发 现 ， po 
多 数 都 是 以 井 号 〈#) 开头 的 注释 信息 行 。 有 刘 帝 老师 在 ， 
定 是 不 会 让 大 家 去 “ 死 哺 ” 这 些 内 容 的 。 























[root@linuxprobe ~]# cat /etc/samba/smb. conf 

# This is the main Samba configuration file. For detail 

ed information about the 

# options listed here, refer to the smb.conf(5) manual 
page. Samba has a huge 

# number of configurable options, most of which are not 
shown in this example. 

# 

# The Official Samba 3.2.x HOWTO and Reference Guide co 
ntains step-by-step 

# guides for installing, configuring, and using Samba: 

# http://www. samba.org/samba/docs/Samba-HOWTO-Collectio 

n.pdf 

# 

# The Samba-3 by Example guide has working examples for 
smb.conf. This guide is 

# generated daily: http://www.samba.org/samba/docs/Samb 

a-Guide. pdf 

# 


# In this file, lines starting with a semicolon (;) or 

a hash (#) are 

# comments and are ignored. This file uses hashes to de 

note commentary and 

# semicolons for parts of the file you may wish to conf 
igure. 

# 

# Note: Run the "testparm" command after modifying this 
file to check for basic 

# syntax errors. 


—( 43 WEE HE 7 4688 EH Ted e 





由 于 在 Samba 服 务 程序 的 主 配 置 文 件 中 ， 注 释 信 息 行 实 在 
太 多 ， 不 便于 分 析 里 面 的 重要 参数 ， 因 此 先 把 主 配置 文件 改 个 
名 字 ， 然 后 使 用 cat 命 令 读 入 主 配置 文件 ， 再 在 grep 命 令 后 面 湛 
加 -Vv 参数 反 回 选择 ) ， 分 别 去 挥 所 有 以 井 写 〈#) 和 分 号 
GO 开头 的 注释 信息 行 ， 对 于 剩余 的 空 日 行 可 以 使 用 ^ 参 数 
来 表示 并 进行 反选 过 小 ， 最 后 把 过 滤 后 的 可 用 参数 信息 通过 重 
定 癌 符 履 兰 写 入 到 诛 始 文件 名 称 中 。 执 行 过 滤 后 剩 下 的 Samba 
服务 程序 的 参数 并 不 复杂 ， 为 了 更 方便 读者 查阅 参数 的 功能 ， 
表 12-1 罗 列 了 这 些 参数 以 及 相应 的 注释 说 明 。 























表 12-1 = Samba 服务 程 序 中 的 参数 以 及 作用 





[global] 


workgroup = MYGROUP # 工 作 组 名 称 


server string = Samba Server # 服 务 器 介绍 信息 ， 参 
Version %v 数 %v 为 显示 SMB 版 本 号 


# 定 义 日 志文 件 的 存放 位 置 
log file = /var/log/samba/log.%m | 与 名 称 ， 参 数 %m 为 来 访 
的 主机 名 


‘an 
max log size = 50 
为 50KB 


#share: 来 访 主机 无 需 验 证 口 
令 ; 比较 方便 ， 但 安全 性 很 差 


#user: 需 验证 来 访 主机 提供 的 
口令 后 才 可 以 访问 ; 提升 了 安全 
性 


security = user 4 种 





#server: 使 用 独立 的 远程 主机 验 
证 来 访 主 机 提供 的 口令 (集中 管 


#smbpasswd: {5 smbpasswd fit 
令 为 系统 用 户 设置 Samba 服 务 程 


序 的 密码 


#ldapsam: 基于 LDAP 服 务 进 行 
账户 验证 


# 设 置 在 Samba 服 务 启动 时 


load printers = yes I" 、 
是 否 共享 打印 机 设备 


cups options = raw # 打 印 机 的 选项 





[homes] # 共 享 参数 


tei aas 
# 指 定 共享 信息 是 否 在 “网 
browseable = no * 
邻居 ”中 可 见 
l # 和 定义 是 否 可 以 执行 号 入 操 
writable = yes 
YE, “read only" #H kz 











[root@linuxprobe ~]# mv /etc/samba/smb.conf /etc/samba/ 

smb. conf.bak 

[root@linuxprobe ~]# cat /etc/samba/smb.conf.bak | grep 
-v "#" | grep -v "; 

' | grep -v "^$" > /etc/samba/smb. conf 

[root@linuxprobe ~]# cat /etc/samba/smb. conf 





12.1.1 配置 共享 资源 


Samba 服 务 程序 的 主 配 置 文件 与 前 面 学 习 过 的 Apache 服 务 
很 相似 ， 包 括 全 局 配置 参数 和 区 域 配 置 参数 。 全 局 配置 参数 用 
于 设置 整体 的 资源 共享 环境 ， 对 里 面 的 每 一 个 独立 的 共享 资源 
都 有 效 。 区 域 配置 参数 则 用 于 设置 单独 的 共享 资源 ， 且 仅 对 该 
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数 写 入 到 Samba 服 务 程序 的 主 配置 文件 中 ， 然 后 重 局 该 服务 即 
可 。 








表 12-2 ”用 于 设置 Samba 服 务 程序 的 参数 以 及 作用 


comment = Do not arbitrarily modify the 


database file 


ium 


第 1 步 : 创建 用 于 访问 共享 资源 的 账户 信息 。 在 RHEL 7 系 














统 中 ，Samba 服 务 程序 默认 使 用 的 古 用 户口 令 认证 模式 
Cuser) 。 这 种 认证 模式 可 以 确保 仅 让 有 密码 且 受 信任 的 用 户 
访问 共享 资源 ， 而 且 验 证 过 程 也 十 分 简单 。 不 过 ， 只 有 建立 账 














户 信息 数据 库 之 后 ， 才 能 使 用 用 户口 令 认 证 模式 。 夯 外 ， 
Samba 服 务 程序 的 数据 库 要 求 账户 必须 在 当前 系统 中 已 经 存 
在 ， 人 否则 日 后 创建 文件 时 将 导致 文件 的 权限 属性 混乱 不 坊 ， 由 
此 引发 错误 。 











pdbedit 命 令 用 于 管理 SMB 服 务 程序 的 账户 信息 数据 库 ， 格 
式 为 “pdbedit [选项 ] 账户 ”。 在 第 一 次 把 账户 信息 写 入 到 数据 库 
时 和 需要 使 用 -a 参数 ， 以 后 在 执行 修改 密码 、 删 除 账户 等 操作 时 
就 不 再 需要 该 参数 了 。pdbedit 命 令 中 使 用 的 参数 以 及 作用 如 表 
12-3 所 示 。 





表 12-3 ”用 于 pdbedit 命 令 的 参数 以 及 作用 
































列 出 账户 列表 


列 出 账户 详细 信息 的 列表 





m 


[root@linuxprobe ~]# id linuxprobe 

uid-1000(linuxprobe) gid-1000(linuxprobe) groups-1000(1 
inuxprobe) 

[root@linuxprobe ~]# pdbedit -a -u linuxprobe 

new password: 此 处 输入 该 账户 在 samba 服 务 数据 库 中 的 密码 
retype new password :再 次 输入 密码 进行 确认 

Unix username: linuxprobe 

NT username: 

Account Flags: 

User SID: S-1-5-21-507407404 - 3243012849 -3065158664-1000 
Primary Group SID: S-1-5-21-507407404-3243012849-306515 
8664-513 

Full Name: linuxprobe 

Home Directory: \\localhost\linuxprobe 

HomeDir Drive: 

Logon Script: 

Profile Path: \\localhost\linuxprobe\profile 

Domain: LOCALHOST 

Account desc: 

Workstations: 

Munged dial: 

Logon time: 0 

Logoff time: Wed, 06 Feb 2036 10:06:39 EST 

Kickoff time: Wed, 06 Feb 2036 10:06:39 EST 

Password last set: Mon, 13 Mar 2017 04:22:25 EDT 
Password can change: Mon, 13 Mar 2017 04:22:25 EDT 
Password must change: never 

Last bad password : 0 

Bad password count : @ 

Logon hours : FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF 








第 2 步 : BATHS VR PPA RK. EEE, AM 
要 考虑 到 文件 读 写 权 限 的 问题 ， 而 且 由 于 /home 目 录 是 系统 中 








普通 用 户 的 家 目录 ， 因 此 还 需要 考虑 应 用 于 该 目录 的 SELinux 
安全 上 下 文 所 带 来 的 限制 。 在 前 面 对 Samba 服 务 程 序 配 置 文件 
中 的 注释 信息 进行 过 滤 时 ， 这 些 过 滤 的 信息 中 就 有 关于 
SELinux 安 全 上 下 文人 策略 的 说 明 ， 我 们 只 需 按照 过 滤 信息 中 有 
关 SELinux 安 全 上 下 文 策略 中 的 说 明 中 给 的 值 进 行 修改 即 可 。 
修改 完毕 后 执行 restorecon 命 令 ， 让 应 用 于 目录 的 新 SELinux 安 
全 上 下 文 立 即 生 效 。 

















[root@linuxprobe ~]# mkdir /home/database 
[root@linuxprobe ~]# chown -Rf linuxprobe:linuxprobe /h 
ome/database 

[root@linuxprobe ~]# semanage fcontext -a -t samba_shar 


e t /home/database 

[rootglinuxprobe ~]# restorecon -Rv /home/database 
restorecon reset /home/database context unconfined u:ob 
ject r:home root t:s0-» 
unconfined u:object r:samba share _t:s@ 





第 3 步 : 设置 SELinux 服 务 与 策略 ， 使 其 允许 通过 Samba 服 
务 程序 访问 普通 用 户 家 目录 。 执 行 getsebool 命 令 ， 算 选 出 所 有 
与 Samba 服 务 程序 相关 的 SELinux 域 策略 ， 根 据 策略 的 名 称 
《和 经 验 ) 选择 出 正确 的 策略 条 目 进行 开局 即 可 : 























[root@linuxprobe ~]# getsebool -a | grep samba 
samba create home dirs --> off 

samba domain controller --> off 

samba enable home dirs --> off 

samba export all ro --» off 


samba export all rw --> off 
samba portmapper --> off 
samba run unconfined --> off 
samba share fusefs --» off 
samba share nfs --» off 
sanlock use samba --> off 

use samba home dirs --> off 
virt sandbox use samba --> off 
virt use samba --> off 
[root@linuxprobe ~]# setsebool -P samba enable home dir 
s on 











第 4 步 : 在 Samba 服 务 程序 的 主 配置 文件 中 ， 根 据 表 12-2 所 
提 到 的 格式 写 入 共 孚 信息 。 在 原始 的 配置 文件 中 ，[homes] 参 
数 为 来 访 用 户 的 家 目录 共享 信息 ，[printers] 参 数 为 共 圣 的 打印 
机 设备 。 这 两 项 如 果 在 今后 的 工作 中 不 需要 ， 可 以 像 刘 遂 老师 
一 样 手 动 删除 ， 这 没有 任何 问题 。 























[root@linuxprobe ~]# vim /etc/samba/smb. conf 
[global] 

workgroup - MYGROUP 

server string = Samba Server Version Xv 
log file = /var/log/samba/log.%m 

max log size - 50 

security - user 

passdb backend = tdbsam 

load printers - yes 

9 cups options = raw 

10 [database] 

11 comment - Do not arbitrarily modify the database fil 
e 

12 path - /home/database 


CON AU BWDN BP 


13 public = no 
14 writable = yes 











527: Samba 服 务 程序 的 配置 工作 基本 完毕 。 接 下 来 重 
启 smb 服 务 (Samba 服 务 程序 在 Linux 系 统 中 的 名 字 为 smb) 并 
清空 iptables 防 火 增 ,然后 束 可 以 检验 配置 效果 了 。 





[root@linuxprobe ~]# systemctl restart smb 
[root@linuxprobe ~]# systemctl enable smb 

In -s '/usr/lib/systemd/system/smb.service' '/etc/syste 
md/system/multi-user. 


target.wants/smb.service' 

[root@linuxprobe ~]# iptables -F 

[root@linuxprobe ~]# service iptables save 

iptables: Saving firewall rules to /etc/sysconfig/iptab 
les:[ OK ] 











12.1.2 Windows fH) LRE RS 





无 论 Samba 共 享 服务 是 部 署 Windows 系 统 上 还 是 部 署 在 
Linux 系 统 上 ， 通 过 Windows 系 统 进行 访问 时 ， 其 步骤 和 方法 
都 是 一 样 的 。 下 面 假 设 Samba 共 享 服务 部 署 在 Linux 系 统 上 ， 并 
通过 Windows 系 统 来 访问 Samba 服 务 。Samba 共 享 服务 器 和 
Windows 客 户 端 的 耳 地 址 可 以 根据 表 12-4 来 设置 。 





表 12-4 Samba 服 务 器 和 Windows 客 户 端 使 用 的 操作 系统 以 
及 IP 地 址 


| 


主机 名 称 操作 系统 IP 地 址 


Samba 共 享 服务 器 RHEL 7 192.168.10.10 





Windows 客 户 端 192.168.10.30 


y 


要 在 Windows 系 统 中 访问 共享 资源 ， 只 需 在 Windows 的 “ 运 
行 ” 命 令 框 中 输入 两 个 反 和 斜 杜 ， 人 然后 再 加 服务 器 的 IP 地 址 即 
可 ， 如 图 12-2 所 示 。 











| pli \192.168.10.10 





P 查看 更 多 结果 


[W21681010 ëO) [ 5M j*j 








图 12-2 ”在 Windows 系 统 中 访问 共享 资源 


如 果 已 经 清空 了 Linux 系 统 上 iptables 防 火 墙 的 默认 策略 
《 即 执行 jptables -F 命 令 ) ， 现 在 就 应 该 能 看 到 Samba 共 享 服务 
的 登录 界面 了 。 刘 遂 SE e a 
本 地 密码 尝试 登录 ， 结 果 出 现 了 如 图 12-3 所 示 的 报错 信息 。 
此 可 以 验证 ， 在 RHEL 7 系统 中 ，Samba 服 务 程序 iiie 
独立 的 账户 信息 数据 库 。 所 以 ， 即 便 在 Linux 系 统 中 有 一 个 
linuxprobe 账 户 ，Samba 服 务 程序 使 用 的 账户 信息 数据 库 中 也 有 








一 个 同名 的 linuxprobe 账 户 ， 大 家 也 一 定 要 和 弄 清 楚 它 们 各 自 所 
对 应 的 密码 。 





GE -x]L 5 





输入 网 络 密码 
HAGAE REEE]: 192.168.10.10 








Ez 
35i: WIN-SNIQ3DUMJHD 
O BERNE 











@ sae onReeESsisER. 











图 12-3 ”访问 Samba 共 译 服 务 时 ， 提 示 出 错 


正确 输入 linuxprobe 账 户 名 以 及 使 用 pdbedit 命 令 设置 的 密 
码 后 ， 就 可 以 登录 到 共享 界面 中 了 ， 如 图 12-4 所 示 。 此 时 ， 我 
们 可 以 尝试 执行 查看 、 写 入 、 更 名 、 删 除 文件 等 操作 。 











O- ] » FH » 192.168.10.10 » database v |4 || A3 database 
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图 12-4 ”成 功 访问 Samba 共 享 服务 





由 于 Windows 系 统 的 绥 存 原因 ， 有 可 能 您 在 第 二 次 登录 时 
提供 了 正确 的 账户 和 密码 ， 依 然 会 报错 ， 这 时 只 需要 重新 局 动 
一 下 Windows 客 户 病 束 没 问题 7 了 (如果 Windows 系 统 依然 报 
错 ， 请 检查 上 述 步 又 是 否 有 做 错 的 地 方 〉。 











12.1.3 Linux 访 问 文件 共享 服务 


上 面 的 实验 操作 可 能 会 让 各 位 读者 误 以 为 Samba 服 务 程序 
只 是 为 了 解决 Linux 系 统 和 Windows 系 统 的 资源 共享 问题 而 设 











计 的 。 其 实 ，Samba 服 务 程 序 还 可 以 实现 Linux 系 统 之 间 的 文件 
共享 。 请 各 位 读者 按照 表 12-5 来 设置 Samba 服 务 程序 所 在 主机 
《 即 Samba 共 享 服务 器 ) 和 Linux 客 户 端 使 用 的 耳 地址 ， 然 后 在 
客户 端 安 闭 文 持 文 件 共 享 服务 的 软件 包 〈cifs-utils) 。 











表 12-5 Samba 共 享 服务 器 和 Linux 客 户 端 各 自 使 用 的 操作 
系统 以 及 IP 地 址 


主机 名 称 操作 系统 IP 地 址 


Samba 共 享 服务 器 RHEL7 操 作 系 统 192.168.10.10 


Linux 客 户 端 RHEL7 操 作 系 统 192.168.10.20 





[root@linuxprobe ~]# yum install cifs-utils 

Loaded plugins: langpacks, product-id, subscription-man 
ager 

rhel | 4.1 kB 00:00 

Resolving Dependencies 

--» Running transaction check 

---» Package cifs-utils.x86 64 0:6.2-6.e17 will be inst 
alled 

--» Finished Dependency Resolution 

Dependencies Resolved 


Installing: 
cifs-utils x86 64 6.2-6.e17 rhel 83 k 
Transaction Summary 


Install 1 Package 
Total download size: 83 k 
Installed size: 174 k 
Is this ok [y/d/N]: y 
Downloading packages: 
Running transaction check 
Running transaction test 
Transaction test succeeded 
Running transaction 
Installing : cifs-utils-6.2-6.e17.x86 64 1/1 
Verifying : cifs-utils-6.2-6.e17.x86 64 1/1 
Installed: 
cifs-utils.x86 64 0:6.2-6.e17 
Complete! 





在 Linux 客 户 端 ， 按 照 Samba 服 务 的 用 户 名 、 密 码 、 共 享 域 
的 顺序 将 相关 信息 写 入 到 一 个 认证 文件 中 。 为 了 保证 不 被 其 他 
人 随意 看 到 ， 最 后 把 这 个 认证 文件 的 权限 修改 为 仅 root 管 理 员 
才能 够 读 写 : 





[root@linuxprobe ~]# vim auth.smb 
username=smbuser 


password=redhat 
domain=MYGROUP 
[root@linuxprobe ~]# chmod 600 auth.smb 





现在 ， 在 Linux 客 户 端 上 创建 一 个 用 于 挂 载 Samba 服 务 共 享 
资源 的 目录 ， 并 把 挂 载 信息 写 入 到 /etcfstab 文 件 中 ， 以 确保 共 
享 挂 载 信息 在 服务 器 重启 后 依然 生效 : 








[root@linuxprobe ~]# mkdir /database 

[root@linuxprobe ~]# vim /etc/fstab 

# 

# /etc/fstab 

# Created by anaconda on Wed May 4 19:26:23 2017 

# 

# Accessible filesystems, by reference, are maintained 
under '/dev/disk' 

# See man pages fstab(5), findfs(8), mount(8) and/or bl 
kid(8) for more info 

# 


/dev/mapper/rhel-root / 
xfs defaults 11 


UUID-812b1f7c-8b5b-43da-8c06-b9999e0fe48b /boot 

xfs defaults 1 2 

/dev/mapper /rhel-swap 
swap swap defaults © © 

/dev/cdrom /media/cdrom 

iso9660 defaults 0 0 

//192.168.10.10/database /database cifs credentials-/ro 

ot/auth.smb 6 6 

[root@linuxprobe ~]# mount -a 





Linux 客 户 端 成 功 地 挂 载 了 Samba 服 务 的 共享 资源 。 进 入 到 
TESI H 3xc/database/ri wt n] LAG 2] Windows % Zt Vi lh] Samba] 4 
程序 时 留 下 来 的 文件 了 【〔 即 文件 Memo.txt) 。 当 然 ， 我 们 也 可 
以 对 该 文件 进行 读 写 操作 并 保存 。 





[root@linuxprobe ~]# cat /database/Memo.txt 
i can edit it. 


12.2 NES (PZB XC fF RAF) 


如 果 大 家 觉得 Samba 服 务 程序 的 配置 太 矿 烦 ， 而 且 恰 巧 需 
要 共享 文件 的 主机 都 是 Linux 系 统 ， 刘 近 老师 非常 推荐 大 家 在 
客户 问 部 敬 NFS 服 务 来 共享 文件 。NFS〔 网 络 文件 系统 ) 服务 
可 以 将 远程 Linux 系 统 上 的 文件 共享 资源 挂 载 到 本 地 主机 的 目 
录 上 ， 从 而 使 得 本 地 主机 (Linux 客 户 端 ) 基于 TCP/IP 协 议 ， 
像 使 用 本 地 主机 上 的 资源 那样 读 写 远 程 Linux 系 统 上 的 共享 文 
件 。 

















由 于 RHEL 7 系统 中 默认 已 经 安装 了 NEFS 服 务 ， 外 加 NFS 服 
务 的 配置 步骤 也 很 简单 ， 因 此 刘 遂 老师 在 授课 时 会 将 NFS 戏 让 
为 Need For Speed。 接 下 来 ， 我 们 准备 配置 NFS 服 务 。 首 先 请 
使 用 Yum 软 件 仓库 检查 自己 的 RHEL 7 系统 中 是 否 已 经 安装 了 
NFS 软 件 包 : 











[root@linuxprobe ~]# yum install nfs-utils 

Loaded plugins: langpacks, product-id, subscription-man 
ager 

(1/2): rhel7/group gz | 134 kB 00:00 


(2/2): rhel7/primary db | 3.4 MB 00:00 

Package 1:nfs-utils-1.3.0-0.e17.x86 64 already installe 
d and latest version 

Nothing to do 








第 1 步 : 为 了 检验 NFS 服 务 配 置 的 效果 ， E 
台 Linux 主 机 (一 台 充 当 NFS 服 务 器 ， 一 台 充 当 NFS 客 户 端 ) ， 
并 按照 表 12-6 来 设置 它们 所 使 用 的 IP 地 址 。 


表 12-6 ”两 台 Linux 主 机 所 使 用 的 操作 系统 以 及 IP 地 址 





NEFS 客 户 端 RHEL 7 192.168.10.20 


AE ARS Wis 2 NFS HRS 48_E Miptables hi KH BRU, 
TMS, UEIN AID K HS IE E AS PSI NFSSE SEARS 0 








[root@linuxprobe ~]# iptables -F 
[root@linuxprobe ~]# service iptables save 
Saving firewall rules to /etc/sysconfig/iptab 


iptables: 
les:[ OK ] 





第 2 步 : 在 NFS 服 务 器 上 建立 用 于 NFS 文 件 共享 的 目录 ， 
并 设置 足够 的 权限 确保 其 他 人 也 有 写 入 权限 。 


[root@linuxprobe ~]# mkdir /nfsfile 
[root@linuxprobe ~]# chmod -Rf 777 /nfsfile 


[root@linuxprobe ~]# echo "welcome to linuxprobe.com" > 
/nfsfile/readme 


第 3 步 : NFS 服 务 程 序 的 配置 文件 为 /etclexports， 默 认 情 况 
下 里 面 没有 任何 内 容 。 我 们 可 以 按照 “共享 目录 的 路 径 允许 访 
问 的 NFS 客 户 端 〈 共 享 权限 参数 ) ”的 格式 ， 定 义 要 共享 的 目 
录 与 相应 的 权限 。 











例如 ， 如 果 想 要 把 /nfsfile 目 录 共 享 给 192.168.10.0/24 网 鼎 
内 的 所 有 主机 ， 让 这 些 主机 都 拥有 读 写 权 限 ， 在 将 数据 写 入 到 
NFS 服 务 器 的 硬 礁 中 后 才 会 结束 操作 ， 最 大 限度 保证 数据 不 于 














失 ， 以 及 把 来 访客 户 端 root 管 理 员 上 映射 为 本 地 的 匿名 用 户 等 ， 
则 可 以 按照 下 面 命令 中 的 格式 ， 将 表 12-7 中 的 参数 写 到 NFS 服 
务 程序 的 配置 文件 中 。 


表 12-7 ”用 于 配置 NFS 服 务 程序 配置 文件 的 参数 





当 NFS 客 户 端 以 root 管 理 员 访 问 时 ， 映 射 为 NFS 服 务 器 的 





root_squash 匿名 用 户 


. ; 当 NFS 客 户 端 以 root 管 理 员 访问 时 ， 映 射 为 NFS 服 务 器 的 
no_root_squas 

root’ H ma 
» f 无 论 NFS 客 户 端 使 用 什么 账户 访问 ， 均 映射 为 NFES 服 务 
all_squas i 

器 的 匿名 用 户 


同时 将 数据 写 入 到 内 存 与 硬盘 中 ， 保 证 不 丢失 数据 
优先 将 数据 保存 到 内 存 ， 然 后 再 写 入 硬盘 ， 这 样 效率 更 
d 高 ， 但 可 能 会 丢失 数据 


请 注意 ，NFS 客 户 端 地 址 与 权限 之 间 没 有 空格 。 


/nfsfile 192.168.10.*(rw, sync, root_squash) 

BAS: 局 动 和 局 用 NFS 服 务 程序 。 由 于 在 使 用 NFS 服 务 
进行 文件 共享 之 前 ， 需 要 使 用 RPC (Remote Procedure Call, 
远程 过 程 调 用 〉 服 务 将 NFS 服 务 颖 的 IP 地 址 和 端口 号 等 信息 发 
送 给 客户 端 。 因 此 ， 在 启动 NFS 服 务 之 前 ， 还 需要 顺带 重启 并 
局 用 rpcbind 服 务 程序 ， 并 将 这 两 个 服务 一 并 加 入 开机 局 动 项 














中 。 


[root@linuxprobe ~]# systemctl restart rpcbind 
[root@linuxprobe ~]# systemctl enable rpcbind 
[root@linuxprobe ~]# systemctl start nfs-server 


[root@linuxprobe ~]# systemctl enable nfs-server 

In -s '/usr/lib/systemd/system/nfs-server.service' /et 
c/systemd/system/nfs. 

target.wants/nfs-server.service' 





NEFS 客 户 端 的 配置 步骤 也 十 分 简单 。 先 使 用 Showmount 命 
令 ( 以 及 必要 的 参数 ， 见 表 12-8) UNESA SA 时 共享 
P 其 输出 格式 为 “共享 的 目录 名 称 允许 使 用 客户 端 
1 


表 12-8 showmount 命 令 中 可 用 的 参数 以 及 作用 


显示 NFS 服 务 器 的 共享 列表 


显示 本 机 挂 载 的 文件 资源 的 情况 


显示 版 本 号 





[root@linuxprobe ~]# showmount -e 192.168.10.10 
Export list for 192.168.10.10: 


/nfsfile 192.168.10.* 





RENESA P mI E — TEER A RK. Hmon Jf 
结合 -t 参 数 ， 指 定 要 挂 载 的 文件 系统 的 类 型 ， 并 在 命令 后 面 写 
上 服务 器 的 耳 地 址 、 服 务 右 上 的 共 孚 目录 以 及 要 挂 载 到 本 地 系 
统 〈 即 客户 端 ) 的 目录 。 





[root@linuxprobe ~]# mkdir /nfsfile 
[root@linuxprobe ~]# mount -t nfs 192.168.10.10:/nfsfil 


e /nfsfile 





挂 载 成 功 后 就 应 该 能 够 顺利 地 看 到 在 执行 前 面 的 操作 时 写 
入 的 文件 内 容 了 。 如 果 和 希望 NFS 文 件 共享 服务 能 一 直 有 效 ， 则 
需要 将 其 写 入 到 fstab 文 件 中 : 





[root@linuxprobe ~]# cat /nfsfile/readme 
welcome to linuxprobe.com 
[root@linuxprobe ~]# vim /etc/fstab 

# 


# /etc/fstab 

# Created by anaconda on Wed May 4 19:26:23 2017 

# 

# Accessible filesystems, by reference, are maintained 
under '/dev/disk' 

# See man pages fstab(5), findfs(8), mount(8) and/or bl 
kid(8) for more info 

# 

/dev/mapper/rhel-root / 


xfs defaults 11 
UUID-z812b1f7c-8b5b-43da-8c06-b9999e0fe48b /boot 


xfs defaults 12 

/dev/mapper /rhel-swap 
swap swap defaults 0 6 

/dev/cdrom /media/cdrom 


iso9660 defaults © 0 
192.168.10.10: /nfsfile /nfsfile nfs defaults 0 0 





12.3 autofs 自 动 挂 载 服务 


无 论 是 Samba 服 务 还 是 NFS 服 务 ， 都 要 把 挂 载 信息 写 入 
到 /etc/fstab 中 ， 这 样 远程 共享 资源 就 会 自动 随 服 务 器 开机 而 进 
行 挂 载 。 虽 然 这 很 方便 ， 但 是 如 果 挂 载 的 远程 资源 太 多 ， 则 会 
给 网 络 带宽 和 服务 器 的 硬件 资源 带 来 很 大 负载 。 如 采 在 资源 挂 
载 后 长 期 不 使 用 ， 也 会 造成 服务 器 人 硬件 资源 的 浪 络 。 可 能 会 有 
读者 说 ,，“ 可 以 在 每 次 使 用 之 前 执行 mount 命 令 进 行 手 动 挂 
载 *。 这 是 一 个 不 错 的 选择 ， 但 是 每 次 都 需要 先 挂 载 再 使 用 ， 
您 不 觉得 麻烦 吗 ? 

















autofs 上 自动 挂 载 服务 可 以 帮 我 们 解决 这 一 问题 。 与 mount 命 
令 不 同 ，autofs 服 务 程序 是 一 种 Linux 系 统 守 护 进 程 ， 当 检测 到 
用 户 视 图 访问 一 个 尚未 挂 载 的 文件 系统 时 ， 将 自动 挂 载 该 文件 
系统 。 换 句 话说 ， 我 们 将 挂 载 信息 填 入 /etc/fstab 文 件 后 ， 系 统 
在 每 次 开机 时 都 自动 将 其 挂 载 ， 而 autofs 服 务 程 序 则 是 在 用 户 
需要 使 用 该 文件 系统 时 才 去 动态 挂 载 ， 从 而 节约 了 网 络 资源 和 
服务 器 的 硬件 资源 。 

















[root@linuxprobe ~]# yum install autofs 
Loaded plugins: langpacks, product-id, subscription-man 


ager 
This system is not registered to Red Hat Subscription M 
anagement. You can use 


subscription-manager to register. 

rhel | 4.1 kB 00:00 

Resolving Dependencies 

--» Running transaction check 

---» Package autofs.x86 64 1:5.0.7-40.e17 will be insta 
lled 

--» Processing Dependency: libhesiod.so.0()(64bit) for 
package: 1:autofs-5.0.7- 

40. el7.x86 64 

--» Running transaction check 

---» Package hesiod.x86 64 0:3.2.1-3.el7 will be instal 
led 

--» Finished Dependency Resolution 

Dependencies Resolved 


Installing: 

autofs x86 64 1:5.0.7-40.e17 rhel 550 k 
Installing for dependencies: 

hesiod x86 64 3.2.1-3.e17 rhel 30 k 
Transaction Summary 


Install 1 Package (+1 Dependent package) 
Total download size: 579 k 

Installed size: 3.6 M 

Is this ok [y/d/N]: y 

Downloading packages: 


Total 9.4 MB/s | 579 kB 00:00 
Running transaction check 
Running transaction test 


Transaction test succeeded 
Running transaction 
Installing : hesiod-3.2.1-3.e17.x86 64 1/2 
Installing : 1:autofs-5.0.7-40.e17.x86 64 2/2 
Verifying : hesiod-3.2.1-3.e17.x86 64 1/2 
Verifying : 1:autofs-5.0.7-40.e17.x86 64 2/2 
Installed: 


autofs.x86 64 1:5.0.7-40.e17 
Dependency Installed: 

hesiod.x86 64 0:3.2.1-3.e17 
Complete! 











处 于 生产 环境 中 的 Linux 服 务 器 ， 一 般 会 同时 管理 许多 设 
备 的 挂 载 操作 。 如 采 把 这 些 设备 挂 载 信 息 都 号 入 到 autofs 服 务 
的 主 配置 文件 中 ， 无 疑 会 让 主 配置 文件 胱 肿 不 堪 ， 不 利于 服务 
执行 效率 ， 也 不 利于 日 后 修改 里 面 的 配置 内 容 ， 因 此 在 autofs 
服务 程序 的 主 配置 文件 中 需要 按照 “ 挂 载 目录 子 配置 文件 ”的 
格式 进行 填写 。 挂 载 目 录 是 设备 挂 载 位 置 的 上 一 级 目录 。 例 
如 ， 光 盘 设 备 一 般 挂 载 到 /media/cdrom 目 录 中 ， 那 么 挂 载 目 录 
写成 /media 即 可 。 对 应 的 子 配 置 文 件 则 是 对 这 个 挂 载 目录 内 的 
挂 载 设备 信息 作 进 一 步 的 说 明 。 子 配置 文件 需要 用 户 自 行 定 
义 ， 文 件 名 字 没 有 严格 要 求 ， 但 后 级 必须 以 .misc 结 束 。 具 体 
的 配置 参数 如 第 7 行 的 加 粗 字 所 示 。 























[root@linuxprobe ~]# vim /etc/auto.master 

# 

# Sample auto.master file 

# This is an automounter map and it has the following f 


ormat 

# key [ -mount-options-separated-by-comma ] location 

# For details of the format look at autofs(5). 

# 

/media /etc/iso.misc 

/misc /etc/auto.misc 

# 

# NOTE: mounts done from a hosts map will be mounted wi 
th the 

i "nosuid" and "nodev" options unless the "suid" and "d 
ev" 

# options are explicitly given. 


# 

/net -hosts 

# 

# Include /etc/auto.master.d/*.autofs 
# 


+dir:/etc/auto.master.d 
# 
i 
# 
# 
# 
# 
h 
# 
S 
# 
# 


+auto.master 


Include central master map if it can be found using 
nsswitch sources. 


Note that if there are entries for /net or /misc (as 
above) in the included master map any keys that are t 
e 

same will not be seen as the first read key seen take 


precedence. 





在 子 配置 文件 中 ， 应 按照 “ 挂 载 目 录 挂 载 文件 类 型 及 权限 
:设备 名 称 ” 的 格式 进行 填写 。 例 如 ， 要 把 光盘 设备 挂 载 


到 /media/iso 目 录 中 ， 可 将 挂 载 目录 写 为 So， 而 -ftype 为 文件 系 
统 格式 参数 ，iso9660 为 光盘 设备 格式 ，ro、nosuid 及 nodev 为 光 
盘 设 备 具体 的 权限 参数 ，/dewcdrom 则 是 定义 要 挂 载 的 设备 名 
称 。 配 置 完 成 后 再 顺手 将 autofs 服 务 程序 启动 并 加 入 到 系统 局 
动 项 中 : 





[root@linuxprobe ~]# vim /etc/iso.misc 
iso -fstype-iso9660,ro,nosuid,nodev :/dev/cdrom 
[root@linuxprobe ~]# systemctl start autofs 


[root@linuxprobe ~]# systemctl enable autofs 

In -s '/usr/lib/systemd/system/autofs.service' '/etc/sy 
stemd/system/multi-user. 

target.wants/autofs.service' 








接 下 来 将 发 生 一 件 非常 有 趣 的 事情 。 我 们 先 查 看 当前 的 光 
盘 设备 挂 载 情 况 ， 确 认 光 盘 设 备 没 有 被 挂 载 上 ， 而 且 /media 目 
录 中 根本 就 没有 iso 子 目录 。 但 是 ， 我 们 却 可 以 使 用 cd 命令 切换 
到 这 个 iso 子 目录 中 ， 而 且 光 盘 设 备 会 被 立即 自动 挂 载 上 。 我 
们 也 就 能 顺利 查看 光盘 内 的 内 容 了 。 

















[root@linuxprobe ~]# df -h 


Filesystem Size Used Avail Use% Mounted o 
n 

/dev/mapper/rhel-root 18G  3.0G 15G 17% / 
devtmpfs 905M © 905M 6% /dev 
tmpfs 914M 140K 914M 1% /dev/shm 
tmpfs 914M 8.9M 905M 1% /run 
tmpfs 914M © 914M 0% /sys/fs/c 


group 


/ dev/sda1 497M 119M 379M 24% /boot 
[root@linuxprobe ~]# cd /media 

[root@linuxprobe media]# ls 

[root@linuxprobe media]# cd iso 

[root@linuxprobe iso]# ls -1 

total 812 


dr-xr-xr-x. root root 2048 May 7 2017 addons 
dr-xr-xr-x. root root 2048 May 7 2017 EFI 

a ee ee root root 8266 Apr 4 2017 EULA 
ed Od root root 18092 Mar 6 2012 GPL 


dr-xr-xr-x. 
dr-xr-xr-x. 
dr-xr-xr-x. 


root root 2048 May 7 2017 images 

root root 2048 May 7 2017 isolinux 

root root 2048 May 7 2017 LiveOS 
-p--n--nr--. root root 108 May 7 2017 media.repo 
dr-xr-xr-x. root root 774144 May 7 2017 Packages 
dr-xr-xr-x. 24 root root 6144 May 7 2017 release-notes 
dr-xr-xr-x. 2 root root 4096 May 7 2017 repodata 
-r--r--r--. 1 root root 3375 Apr 1 2017 RPM-GPG-KEY-red 
hat-beta 

-r--r--r--. 1 root root 3211 Apr 1 2017 RPM-GPG-KEY-red 
hat-release 

-r--r--r--. 1 root root 1568 May 7 2017 TRANS.TBL 
[rootglinuxprobe ~]# df -h 


N BÓDÀNPFNUHIPBHBwuU 上 


Filesystem Size Used Avail Use% Mounted 
on 

/dev/mapper/rhel-root 18G 3.0G 15G 17% / 
devtmpfs 905M © 905M 6% /dev 
tmpfs 914M 140K 914M 1% /dev/shm 
tmpfs 914M 8.9M 905M 1% /run 
tmpfs 914M © 914M 0% /sys/fs/ 
cgroup 

/dev/cdrom 3.5G 3.5G @ 100% /media/i 
SO 


/ dev/sda1 497M  119M 379M 245 /boot 





F A 


1. 要 想 实 现 Linux 系 统 与 Windows 系 统 之 间 的 文件 共享 ， 
E10 f HNFSJIR AS ? 


答 : 不 可 以 ， 应 该 使 用 Samba 服 务 程 序 ，NEFS 服 务 仅 能 实 
现 Linux 系 统 之 间 的 文件 共享 。 


2. 用 于 管理 Samba 服 务 程序 的 独立 账户 信息 数据 库 的 合 
令 是 什么 ? 





答 : pdbedit 命 令 用 于 管理 Samba 服 务 程序 的 账户 信息 数据 





3. 人 简 述 在 Windows 系 统 中 使 用 Samba 服 务 程 序 来 共享 资源 
的 方法 。 





答 : 在 开始 菜单 的 输入 框 中 按照 \192.168.10.10 的 格式 输入 
访问 命令 并 回 车 执行 即 可 。 在 Windows 的 “运行 ?命令 框 中 按 
照 192.168.10.10” 的 格式 输入 访问 命令 并 按 回 车 键 即 可 。 








4. 简 述 在 Linux 系 统 中 使 用 Samba 服 务 程序 来 共享 资源 的 
步骤 方法 。 








E: 首先 应 创建 密码 认证 文件 以 及 挂 载 目 录 ， 然 后 把 挂 载 





言 奶 写 入 到 /etc/fstab 文 件 中 ， 最 后 执行 mount -a 命令 挂 载 使 
用 。 


5. 如果 在 Linux 系 统 中 默认 没有 安装 NFS 服 务 程序 ， 则 需 
要 安装 什么 软件 包 呢 ? 


答 : NFS 服 务 程序 的 软件 包 名 字 为 nfs-utils， 因 此 执行 yum 


install nfs-utils 命 令 即 可 。 





6. 在 使 用 NFS 服 务 共享 资源 时 ， 知 希望 无 论 NFS 客 户 端 使 
用 什么 帐户 来 访问 共享 资源 ， 都 会 被 映射 为 本 地 匿名 用 户 ， 则 
需要 添加 哪个 参数 。 











Tt: 需要 添加 all_squash 参 数 ， 以 便 更 好 地 保证 服务 器 的 
2 











7. 客户 端 在 查看 到 远程 NFS 服 务 器 上 的 共享 资源 列表 
时 ， 需 要 使 用 哪个 命令 ? 


答 : 使 用 showmount 命 令 即 可 看 到 NFS 服 务 器 上 的 资源 共 


8. 人 简 述 autofs 服 务 程序 的 作用 。 


AR. 实现 动态 灵活 的 设备 挂 载 操 作 ， 而 且 只 有 检测 到 用 户 
试图 访问 一 个 尚未 挂 载 的 文件 系统 时 ， 才 目 动 挂 载 该 文件 系 
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DNS 域名 解析 服务 ; 


安装 bind 服 务 程序 ; 


部 车 从 服务 器 ; 


安全 的 加 密 传输 ; 


部 效 绥 存 服务 器 ; 






分 离 解 析 技 术 。 





本 章 讲 解 了 DNS 域 名 解析 服务 的 原理 以 及 作用 ， 介 绍 了 域 
名 查询 功能 中 正 癌 解析 与 反问 解析 的 作用 ， 并 通过 实验 的 方式 





演示 了 如 何在 DNS 主 服务 占 上 部 车 正 、 肥 解析 工作 模式 ， 以 便 
让 大 家 深刻 体会 到 DNS 域名 碍 询 的 便利 以 及 强大 。 


本 章 还 介绍 了 如 何 部 署 DNS 从 服务 器 以 及 DNS 缓存 服务 器 
来 提升 用 户 的 域名 查询 体验 ， 以 及 如 何 使 用 chroot 牢 笼 机 制 插 
件 来 保障 bind 服 务 程 序 的 可 靠 性 ， 并 向 大 家 演示 如 何在 主 服务 
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分 析 解 析 技 术 ， 让 来 自 不 同 国家 、 不 同 地 区 的 用 户 都 能 获得 最 
优 的 网 站 访问 体验 。 














相信 大 家 在 学 完 本 章 内 容 之 后 ， 一 定 会 对 bind 服 务 程序 有 
更 深入 的 了 解 和 认识 ， 并 能 深刻 地 体会 到 作为 互联 网 基础 设施 
中 重要 一 坏 的 DNS 域 名 解析 服务 ， 在 互联 网 中 所 承担 的 重要 角 
色 和 发 挥 的 重要 作用 。 


13.1 DNS 域名 解析 服务 


相 较 于 由 数字 构成 的 卫 地 址 ， 域 名 更 容易 被 理解 和 记忆 ， 
所 以 我 们 通 第 更 习惯 通过 域名 的 方式 来 访问 网 络 中 的 资源 。 但 
是 ， 网 络 中 的 计算 机 之 间 只 能 基于 IP 地 址 来 相互 识别 对 方 的 号 
份 ， 而 且 要 想 在 互联 网 中 传输 数据 ， 也 必须 基于 外 网 的 人 P 地 址 








为 了 降低 用 户 访问 网 络 资源 的 门槛 ，DNS (Domain Name 
System， 域 名 系统 ) 技术 应 运 而 生 。 这 是 一 项 用 于 管理 和 解析 
域名 与 IP 地 址 对 应 关系 的 技术 ， 简 单 来 说 ， 束 是 能 够 接受 用 户 
输入 的 域名 或 IP 地 址 ， 然 后 自动 查找 与 之 匹配 (或 者 说 具有 了 映 
射 关系 ) 的 耳 地 址 或 域名 ， 即 将 域名 解析 为 地址 〈 正 向 解 
析 ) ， 或 将 下地 址 解析 为 域名 《〈 反 向 解析 ) 。 这 样 一 来 ， 我 们 
只 需要 在 浏览 器 中 输入 域名 束 能 打开 想 要 访问 的 网 站 了 。DNS 
域名 解析 技术 的 正 向 解析 也 是 我 们 最 常 使 用 的 一 种 工作 模式 。 











鉴于 互联 网 中 的 域名 和 IP 地 址 对 应 关系 数据 库 太 过 庞大 ， 
DNS 域 名 解析 服务 采用 了 类 似 目 录 树 的 层次 结构 来 记录 域名 与 
IP 地 址 之 间 的 对 应 关系 ， 从 而 形成 了 一 个 分 布 式 的 数据 库 系 
统 ， 如 图 13-1 所 示 。 











图 13-1 DNS 域 名 解析 服务 采用 的 目录 树 层次 结构 


域名 后 级 一 般 分 为 国际 域名 和 国内 域名 。 原 则 上 来 讲 ， 域 
名 后 绥 都 有 严格 的 定义 ， 但 在 实际 使 用 时 可 以 不 必 严 格 遵守 。 
目前 最 常见 的 域名 后 级 有 .com 《商业 组 织 ) 、.org 〈 非 营利 组 
2H) 、.gov〈 政 府 部 门 ) 、.net《〈 网 络 服务 商 ) ~ edu (教研 机 
构 ) 、.pub 〈 公 共 大 众 ) 、.cn〈 中 国 国家 顶级 域名 )〉 等 。 























当今 世界 的 信息 化 程度 越 来 越 高 ， 大 数据 、 云 计算 、 物 联 
网 、 人 工 智 能 等 新 技术 不 断 涌现 ， 全 球 网 民 的 数量 据说 也 超过 
了 35 亿 ， 而 且 每 年 还 在 以 10% 的 速度 迅速 增长 。 这 些 因素 导致 
互联 网 中 的 域名 数量 进一步 激增 ， 被 访问 的 频率 也 进一步 加 
大 。 假 设 全 球 网 民 每 人 每 天 只 访问 一 个 网 站 域名 ， 而 且 只 访问 
一 次 ， 也 会 产生 35 亿 次 的 查询 请 求 ， 如 此 庞大 的 请 求 数量 肯定 
无 法 被 某 一 台 服 务 器 全 部 处 理 掉 。DNS 技 术 作 为 互联 网 基础 设 


























施 中 重要 的 一 环 ， 为 了 为 网 氏 提 供 不 间 断 、 稳 定 且 快速 的 域名 
查询 服务 ， 保 证 互联 网 的 正常 运转 ， 提 供 了 下 面 三 种 类 型 的 服 
A die 

















。 主 服务 器 : 在 特定 区 域内 具有 唯一 性 ， 负 责 维护 该 区 域内 
的 域名 与 IP 地 址 之 间 的 对 应 关系 。 

从 服务 器 : 从 主 服 务 器 中 获得 域名 与 卫 地 址 的 对 应 关系 并 
进行 维护 ， 以 防 主 服务 器 宕 机 等 情况 。 

缓存 服务 器: 通过 向 其 他 域名 解析 服务 器 查询 获得 域名 与 
IP 地 址 的 对 应 关系 ， 并 将 经 冲 碍 询 的 域名 信息 保存 到 服务 
器 本 地 ， 以 此 来 提高 重复 查询 时 的 效率 。 






































简单 来 说 ， 主 服务 喜 是 用 于 管理 域名 和 耳 地 址 对 应 关系 的 
真正 服务 器 ， 从 服务 器 帮助 主 服务 器 “打下 手 ”， 分 散 部 普 在 各 
个 国家 、 省 市 或 地 区 ， 以 便 让 用 户 就 近 查 询 域 名 ， 从 而 减轻 主 
服务 如 的 负载 压力 。 绥 存 服务 器 不 太 常 用 ， 一 般 部 车 在 企业 内 
网 的 网 关 位 置 ， 用 于 加 速 用 户 的 域名 查询 请 求 。 














DNS 域 名 解析 服务 采用 分 布 式 的 数据 结构 来 存放 海量 
的 “区 域 数 据 ? 信 息 ， 在 执行 用 户 发 起 的 域名 碍 询 请 求 时 ， 有 具有 
递归 查询 和 从 代 碍 询 两 种 方式 。 所 谓 递归 和 查询， 是 指 DNS 服 务 
需 在 收 到 用 户 发 起 的 请 求 时 ， 必 须 回 用 户 返回 一 个 准确 的 碍 询 
结 末 。 如 果 DNS 服 务 器 本 地 没有 存储 与 之 对 应 的 信息 ， 则 该 服 
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询 结果 。 


























由 此 可 见 ， 当 用 户 癌 就 近 的 一 台 DNS 服 务 器 发 起 对 某 个 域 
名 的 查询 请 求 之 后 (这 里 以 www.linuxprobe.com 为 例 ) ， 其 查 
询 流 程 大 致 如 图 13-2 所 示 。 
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www.linuxprobe.com 














图 13-2 ” 问 DNS 服 务 器 发 起 域名 查询 请 求 的 流程 





当 用 户 同 网 络 指定 的 DNS 服 务 器 发 起 一 个 域名 请 求 时 ， 通 
第 情况 下 会 有 本 地 由 此 DNS 服务 器 同上 级 的 DNS 服务 器 发 送 迭 
代 碍 询 请 求 ， 如果 该 DNS 服务 器 没有 要 碍 询 的 信息 ， 则 会 进 一 
步 向 上 级 DNS 服务 器 发 送 迭 代 查 询 请 求 ， 直 到 获得 准确 的 查询 
结果 为 止 。 其 中 最 高 级 、 最 权威 的 根 DNS 服 务 器 总 共有 13 台 ， 
分 布 在 世界 各 地 ， 其 管理 单位 、 具 体 的 地 理 位 置 ， 以 及 IP 地 址 
如 表 13-1 所 示 。 


表 13-1 13 台 根 DNS 服 务 器 的 具体 信息 














INTERNIC.NET 美国 弗吉尼亚 州 198.41.0.4 


B ”| 美国 信息 科学 研究 所 美国 加 利 福 尼 亚 州 |128.9.0.107 


美国 弗吉尼亚 州 
美国 马里 兰州 
美国 加 利 福 尼 亚 州 
因特网 软件 联盟 美国 加 利 福 尼 亚 州 
美国 国防 部 网 络 信息 中 心 | 美国 弗吉尼亚 州 








Autonomica 公 司 折 德 192.36.148.17 


VeriSign 公 司 192.58.128.30 
RIPE NCC 193.0.14.129 
IANA 美国 弗吉尼亚 州 199.7.83.42 
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13.2 ”安装 bind 服 务 程序 


BIND (Berkeley Internet Name Domain， 伯 克利 因特网 名 
称 域 ) 服务 是 全 球 范 围 内 使 用 最 广泛 、 最 安全 可 靠 且 高 效 的 域 
名 解析 服务 程序 。DNS 域 名 解析 服务 作为 互联 网 基础 设施 服 
务 ， 其 员 任 之 重 可 想 而 知 ， 因 此 建议 大 家 在 生产 环境 中 安装 部 
署 bind 服 务 程 序 时 加 上 chroot〔 俗 称 牢笼 机 制 ) 扩展 包 ， 以 便 
有 效 地 限制 bind 服 务 程序 仅 能 对 自身 的 配置 文件 进行 操作 ， 以 
确保 整个 服务 器 的 安全 。 

















[root@linuxprobe ~]# yum install bind-chroot 
Loaded plugins: langpacks, product-id, subscription-man 


ager 
Bude 省 略 部 分 输出 信 sss 
Installing: 


bind-chroot x86 64 32:9.9.4-14.e17 rhel 81 k 
Installing for dependencies: 

bind x86 64 32:9.9.4-14.e17 rhel 1.8 M 
Transaction Summary 


Install 1 Package (+1 Dependent package) 
Total download size: 1.8 M 

Installed size: 4.3 M 

Is this ok [y/d/N]: y 

Downloading packages: 


Total 28 MB/s | 1.8 MB 00:00 


Running transaction check 

Running transaction test 

Transaction test succeeded 

Running transaction 
Installing : 32:bind-9.9.4-14.e17.x86_64 1/2 
Installing : 32:bind-chroot-9.9.4-14.e17.x86 64 2/2 
Verifying : 32:bind-9.9.4-14.e17.x86 64 1/2 
Verifying : 32:bind-chroot-9.9.4-14.e17.x86 64 2/2 
Installed: 
bind-chroot.x86 64 32:9.9.4-14.e17 

Dependency Installed: 
bind.x86 64 32:9.9.4-14.e17 

Complete! 











bind 服 务 程序 的 配置 并 不 简单 ， 因 为 要 想 为 用 户 提供 健全 
的 DNS 得 询 服务 ， 要 在 本 地 保存 相关 的 域名 数据 库 ， 而 如 宋 把 
所 有 域名 和 耳 地 址 的 对 应 关系 都 写 入 到 茶 个 配置 文件 中 ， 估 计 
要 有 上 千 万 条 的 参数 ， 这 样 既 不 利于 程序 的 执行 效率 ， 也 不 方 
便 日 后 的 修改 和 维护 。 因 此 在 bind 服 务 程序 中 有 下 面 这 三 个 比 
较 关 键 的 文件 。 














。 主 配置 文件 Cetc/named.conf) : 只 有 58 行 ， 而 且 在 去 除 
注释 信息 和 空 行 之 后 ， 实 际 有 效 的 参数 仅 有 30 行 左右 ， 这 
些 参数 用 来 定义 bind 服 务 程 序 的 运行 。 

区 域 配 置 文件 (Jetc/named.rfc1912.zones) : 用 来 保存 域名 
和 IP 地 址 对 应 关系 的 所 在 位 置 。 类 似 于 图 书 的 目录 ， 对 应 
着 每 个 域 和 相应 IP 地 址 所 在 的 具体 位 置 ， 当 需要 查看 或 修 
改 时 ， 可 根据 这 个 位 置 找到 相关 文件 。 


























e 数据 配置 文件 目录 Cvar/named) : 该 目录 用 来 保存 域名 


和 IP 地 址 真实 对 应 关系 的 数据 配置 文件 。 





在 Linux 系 统 中 ，bind 服 务 程序 的 名 称 为 naamed。 首 先 需 要 





在 /etc 目 录 中 找到 该 服务 程序 的 主 配置 文件 ， 然 后 把 第 11 行 和 
第 17 行 的 地 址 均 修改 为 any， 分 别 表示 服务 器 上 的 所 有 JP 地址 
均 可 提供 DNS 域名 解析 服务 ， 以 及 允许 所 有 人 对 本 服务 器 发 送 
DNS 得 询 请 求 。 这 两 个 地 方 一 定 要 修改 准确 。 














[root@linuxprobe ~]# vim /etc/named. conf 

1 // 

2 // named.conf 

SE 

4 // Provided by Red Hat bind package to configure the 
ISC BIND named(8) DNS 

5 // server as a caching only nameserver (as a localho 
st DNS resolver only). 

6 // 

7 // See /usr/share/doc/bind*/sample/ for example name 
d configuration files. 


8 // 

9 

16 options { 

11 listen-on port 53 { any; }; 

12 listen-on-v6 port 53 { ::1; y; 

13 directory "/var/named" ; 

14 dump-file "/var/named/data/cache dump.db"; 

15 statistics-file "/var/named/data/named stats.txt"; 
16 memstatistics-file "/var/named/data/named mem stats 
txt™; 

17 allow-query { any; }; 


18 


19 /* 

20 - If you are building an AUTHORITATIVE DNS server, 
do NOT enable re cursion. 

1,1 Top 

21 - If you are building a RECURSIVE (caching) DNS ser 
ver, you need to enable 

22 recursion. 

23 - If your recursive DNS server has a public IP addr 


ess, you MUST en able access 


24 


control to limit queries to your legitimate users. 


Failing to do so will 


25 


cause your server to become part of large scale DNS 


amplification 


26 


attacks. Implementing BCP38 within your network wou 


ld greatly 


27 
28 
29 
30 
31 
32 
33 
34 
35 
36 
37 
38 
39 
40 
41 
42 
43 
44 
45 
46 


reduce such attack surface 
*7 


recursion yes; 


dnssec-enable yes; 
dnssec-validation yes; 
dnssec-lookaside auto; 


/* Path to ISC DLV key */ 
bindkeys-file "/etc/named.iscdlv.key"; 


managed-keys-directory "/var/named/dynamic"; 


pid-file "/run/named/named.pid"; 
session-keyfile "/run/named/session.key"; 


5 


logging ( 
channel default debug ( 
file "data/named.run"; 


47 severity dynamic; 

48 }; 

49 }; 

50 

51 zone "." IN { 

52 type hint; 

53 file "named.ca"; 

54 jj 

55 

56 include "/etc/named.rfc1912.zones"; 
57 include "/etc/named.root.key"; 





如 前 所 述 ，bind 服 务 程序 的 区 域 配置 文件 
(/etc/named.rfc1912.zones) 用 来 保存 域名 和 卫 地 址 对 应 关系 
的 所 在 位 置 。 在 这 个 文件 中 ， 定 义 了 域名 与 IP 地 址 解析 规则 保 

存 的 文件 位 置 以 及 服务 类 型 等 内 容 ， 而 没有 包含 具体 的 域名 、 
IP 地 址 对 应 关系 等 信息 。 服 务 类 型 有 三 种 ， 分 别 为 hint( 根 区 

域 ) . master 〈 主 区 域 ) . slave 〈 辅 助 区 域 ) ， 其 中 常用 的 
master 和 slave 指 的 就 是 主 服务 器 和 从 服务 器 。 将 域名 解析 为 了 
地 址 的 正 同 解析 参数 和 将 下 地 址 解析 为 域名 的 反问 解析 参数 分 
别 如 图 13-3 和 图 13-4 所 示 。 

















zone “linuxprobe.com” IN{ 服务 类 型 域名 与 IP 地 址 解析 规则 保存 
type master; poss 的 文件 位 置 
file “linuxprobe.com.zone”; 一 


allow update (none; Hi—— 允许 哪些 客户 机 动态 更 新 解析 信息 
}; 





图 13-3 IEMA BAe 


zone “10.168.192.in-addr.arpa” IN{ 


type master; 
file *192.168.10.arpa"; 表示 192.168.10.0/24 网 段 的 反 向 解析 区 域 


h 





13-4 eT RL 


下 面 的 实验 中 会 分 别 修改 bind 服 务 程 序 的 主 配 置 文件 、 区 
域 配 置 文件 与 数据 配置 文件 。 如 果 在 实验 中 遇 到 了 bind 服 务 程 
序 启 动 失败 的 情况 ， 而 您 认为 这 是 由 于 参数 写 错 而 导致 的 ， 则 
可 以 执行 named-checkconf 命 令 和 named-checkzone 命 令 ， 分 别 


检查 主 配 置 文件 与 数据 配置 文件 中 语法 或 参数 的 错误 。 























13.2.1 正 疝 解析 实验 


在 DNS 域 名 解析 服务 中 ， 正 向 解析 是 指 根 据 域名 (主机 
4) 俘 找 到 对 应 的 IP 地 址 。 也 束 是 说 ， 当 用 户 输入 了 一 个 域名 
后 ，bind 服 务 程序 会 自动 进行 合 找 ， 并 将 匹配 到 的 IP 地 址 返 给 
用 户 。 这 也 是 最 妾 用 的 DNS 工 作 模 式 。 











第 1 步 : 编辑 区 域 配置 文件 。 该 文件 中 默认 已 经 有 了 一 些 
无 天 紧要 的 解析 参数 ， 旨 在 让 用 户 有 一 个 参考 。 我 们 可 以 将 下 
面 的 参数 添加 到 区 域 配 置 文件 的 最 下 面 ， 当 然 ， 也 可 以 将 该 文 
件 中 的 原 有 信息 全 部 清空 ， 而 只 保留 自己 的 域名 解析 信息 : 





[root@linuxprobe ~]# vim /etc/named.rfc1912.zones 
zone "linuxprobe.com" IN { 
type master; 


file "linuxprobe.com.zone"; 
allow-update (none;); 


E 





第 2 步 : 编辑 数据 配置 文件 。 我 们 可 以 从 /var/mamed 目 录 中 
复制 一 份 正 回 解析 的 模板 文件 Cnamed.localhost) ， 然 后 把 域 
名 和 IP 地 址 的 对 应 数据 填写 数据 配置 文件 中 并 保存 。 在 复制 时 
记得 加 上 -a 参数 ， 这 可 以 保留 原始 文件 的 所 有 者 、 所 属 组 、 权 
限 属性 等 信息 ， 以 便 让 bind 服 务 程 序 顺利 读 取 文件 内 容 : 











[root@linuxprobe ~]# cd /var/named/ 
[root@linuxprobe named]# ls -al named.localhost 
-Pw-n----- . 1 root named 152 Jun 21 2007 named.localhos 


t 


[rootglinuxprobe named]# cp -a named.localhost linuxpro 
be.com.zone 











编辑 数据 配置 文件 。 在 保存 并 退出 后 文件 后 记得 重 局 
named 服 务 程序 ， 让 新 的 解析 数据 生效 。 考 虑 到 正 同 解 析 文 件 
中 的 参数 较 多 ， 而 且 相 对 都 比较 重要 ， 刘 站 老师 在 每 个 参数 后 
面 都 作 了 简要 的 说 明 。 


[root@linuxprobe named]# vim linuxprobe.com. zone 
[root@linuxprobe named]# systemctl restart named 


[qr We Ux 








存 
STTL| ^4 
H 
1D m 
为 1 
天 
@ linuxprobe.com. root.linuxprobe.com. | ( 


# 域 名 管理 员 的 邮 
箱 〈 不 要 用 @ 符 


=) 





#DNS 区 域 的 地 址 


0;serial 


1D;refresh 


1H;retry 


1W;expire 


3H);minimum 





NS |ns.linuxprobe.com. # 域 名 服务 器 记录 


# 地 址 记录 


(ns.linuxprobe.com.) 


192.168.10.10 


mail.linuxprobe.com. HHS FE AC T TO 


# 地 址 记录 


Cmail.linuxprobe.com. 


192.168.10.10 


# 地 址 记录 


Cwww.linuxprobe.con 


192.168.10.10 


# 地 址 记录 


(bbs.linuxprobe.com. | 


192.168.10.20 








第 3 步 : 检验 解析 结果 。 为 了 检验 解析 结果 ， 一 定 要 先 把 
Linux 系 统 网 卡 中 的 DNS 地 址 参数 修改 成 本 机 IP 地 址 ， 这 样 就 
可 以 使 用 由 本 机 提供 的 DNS 查 询 服 务 了 。nslookup 命 令 用 于 检 
测 能 否 从 DNS 服 务 器 中 查询 到 域名 与 TP 地 址 的 解析 记录 ， 进 而 
更 准确 地 检验 DNS 服务 器 是 否 已 经 能 够 为 用 户 提供 服务 。 








[root@linuxprobe ~]# systemctl restart network 
[root@linuxprobe ~]# nslookup 

> www. linuxprobe.com 

Server: 127.0.0.1 

Address: 127.0.0.1#53 

Name: www.linuxprobe.com 


Address: 192.168.10.10 

» bbs.linuxprobe.com 
Server: 127.0.0.1 
Address: 127.0.0.1#53 
Name: bbs.linuxprobe.com 
Address: 192.168.10.20 





13.2.2 反问 解析 实验 


在 DNS 域 名 解析 服务 中 ， 反 向 解析 的 作用 古 将 用 户 提交 的 
IP 地 址 解析 为 对 应 的 域名 信息 ， 它 一 般 用 于 对 某 个 IP 地 址 上 绑 
定 的 所 有 域名 进行 整体 屏蔽 ， 屏 蔽 由 茶 些 域名 发 送 的 垃圾 邮 
件 。 它 也 可 以 针对 茶 个 耳 地 址 进行 反 回 解析， 大 致 判断 出 有 多 
少 个 网 站 运行 在 上 面 。 当 购买 虚拟 主机 时 ， 可 以 使 用 这 一 功能 
验证 虚拟 主机 提供 两 是 否 有 严重 的 超 售 问 题 。 






































"BE: 编辑 区 域 配置 文件 。 在 编辑 该 文件 时 ， 除 了 不 要 
写 错 格式 之 外 ， 还 需要 记 住 此 处 定义 的 数据 配置 文件 名 称 ， 因 
为 一 会 儿 还 需要 在 /Var/named 目 录 中 建立 与 其 对 应 的 同名 文 
件 。 反 回 解 析 是 把 IP 地 址 解析 成 域名 格式 ， 因 此 在 定义 
zone (区 域 〉 时 应 该 要 把 IP 地 址 反 写 ， 比 如 原来 是 








192.168.10.0, QS Ja MiZ 10.168.192, MARRS HIPH 
址 的 网 络 位 即 可 。 把 下 列 参数 添加 至 正 同 解析 参数 的 后 面 。 


[root@linuxprobe ~]# vim /etc/named.rfc1912.zones 
zone "linuxprobe.com" IN { 

type master; 

file "linuxprobe.com.zone"; 

allow-update (none;); 


}; 

zone "10.168.192.in-addr.arpa" IN { 
type master; 

file "192.168.10.arpa"; 


B 








第 2 步 : 编辑 数据 配置 文件 。 首先 从 /varnamed 目 录 中 复制 
一 份 反 向 解析 的 模板 文件 Cnamed.loopback) ， 然 后 把 下 面 的 
参数 填写 到 文件 中 。 其 中 ，IP 地 址 仅 需 要 写 主 机 位 ， 如 图 13-5 
所 示 。 









www. linuxprobe.com. 





bbs.linuxprobe.com. 






在 192.168.10.in-addr.arpa 反 向 区 域 数据 文件 中 ， 则 对 应 为 192.168.10.20 的 IP 地 址 


图 13-5 ”反问 解 析 文 件 中 IP 地 址 参数 规范 


[root@linuxprobe named]# cp -a named.loopback 192.168.1 
9.arpa 


[root@linuxprobe named]# vim 192.168.10.arpa 
[root@linuxprobe named]# systemctl restart named 





$TTL 
1D 
IN 
@ SOA |linuxprobe.com. root.linuxprobe.com. 


O;serial 
1D;refresh 
1H;retry 
1W;expire 


3H 


);minimum 





10 PTR |ns.linuxprobe.com. |#pPTR 为 指针 记录 ， 仅 
用 于 反问 解析 


mail.linuxprobe.com. 


www.linuxprobe.com. 


bbs.linuxprobe.com. 








第 3 步 : 检验 解析 结果 。 在 前 面 的 正 向 解析 实验 中 ， 己 经 
把 系统 网 卡 中 的 DNS 地 址 参数 修改 成 了 本 机 IP 地 址 ， 因 此 可 以 
直接 使 用 nslookup 命 令 来 检验 解析 结果 ， 仪 需 输入 IP 地 址 即 可 
查询 到 对 应 的 域名 信息 。 





[root@linuxprobe ~]# nslookup 

> 192.168.10.10 

Server: 127.0.0.1 

Address: 127.0.0.1#53 

10.10.168.192.in-addr. ns. linuxprobe.com. 


10.10.168.192.in-addr. www. linuxprobe.com. 
10.10.168.192.in-addr. mail.linuxprobe.com. 
> 192.168.10.20 

Server: 127.0.0.1 

Address: 127.0.0.1#53 

20.10.168.192.in-addr. bbs.linuxprobe.com. 





13.3 We JR AS 4s 


作为 重要 的 互联 网 基础 设施 服务 ， 保 证 DNS 域名 解析 服务 
的 正 第 运转 至 关 重 要 ， 只 有 这 样 才能 提供 稳定 、 快 速 旦 不 间断 
的 域名 碍 询 服务 。 在 DNS 域名 解析 服务 中 ， 从 服务 器 可 以 从 主 
服务 器 上 获取 指定 的 区 域 数 据 文 件 ， 从 而 起 到 备份 解析 记录 与 
负载 均衡 的 作用 ， 因 此 通过 部 普 从 服务 器 可 以 减轻 主 服务 需 的 
负载 压力 ， 还 可 以 提升 用 户 的 碍 询 效率 。 


























在 本 实验 中 ， 主 服务 喜与 从 服务 器 分 别 使 用 的 操作 系统 和 
IP 地 址 如 表 13-2 所 示 。 
表 13-2 主 服务 器 与 从 服务 器 分 别 使 用 的 操作 系统 与 IP 地 


址 信息 


V 





主 服务 器 RHEL 7 192.168.10.10 
从 服务 器 RHEL 7 192.168.10.20 


第 1 步 : 在 主 服 务 器 的 区 域 配置 文件 中 允许 该 从 服务 圳 的 











更 新 请 求 ， 即 修改 alow-update {允许 更 新 区 域 信息 的 主机 地 


址 ;}; 参 数 ， 然 后 重启 主 服务 器 的 DNS 服务 程序 。 


[root@linuxprobe ~]# vim /etc/named.rfc1912.zones 
zone "linuxprobe.com" IN { 

type master; 

file "linuxprobe.com.zone"; 

allow-update ( 192.168.10.20; }; 


) 


zone "10.168.192.in-addr.arpa" IN ( 
type master; 

file "192.168.10.arpa"; 
allow-update ( 192.168.10.20; }; 

); 


[rootglinuxprobe ~]# systemctl restart named 





第 2 步 : 在 从 服务 器 中 填写 主 服 务 器 的 卫 地 址 与 要 抓 取 的 
区 域 信息 ， 然 后 重启 服务 。 注 意 此 时 的 服务 类 型 应 该 是 
slave CM) ， 而 不 再 是 master (Œ) 。masters 参 数 后 面 应 该 为 
主 服 务 器 的 了 地 址 ， 而 且 file 参 数 后 面 定义 的 是 同步 数据 配置 
文件 后 要 保存 到 的 位 置 ， 稍 后 可 以 在 该 目录 内 看 到 同步 的 文 
件 。 

















[root@linuxprobe ~]# vim /etc/named.rfc1912.zones 
zone "linuxprobe.com" IN { 

type slave; 

masters { 192.168.10.10; }; 

file "slaves/linuxprobe.com.zone"; 

}; 

zone "10.168.192.in-addr.arpa" IN { 

type slave; 


masters { 192.168.10.10; }; 
file "slaves/192.168.10.arpa"; 
}; 


[root@linuxprobe ~]# systemctl restart named 














第 3 步 : 检验 解析 结果 。 当 从 服务 器 的 DNS 服务 程序 在 重 
启 后 ， 一 般 就 已 经 自动 从 主 服务 器 上 同步 了 数据 配置 文件 ， 而 
且 该 文件 默认 会 放置 在 区 域 配置 文件 中 所 定义 的 目录 位 置 中 。 
随后 修改 从 服务 器 的 网 络 参 数 ， 把 DNS 地 址 参数 修改 成 
192.168.10.20， 这 样 即 可 使 用 从 服务 器 自 映 提供 的 DNS 域名 解 
析 服 务 。 最 后 就 可 以 使 用 nslookup 命 令 顺利 看 到 解析 结果 了 。 














[root@linuxprobe ~]# cd /var/named/slaves 
[root@linuxprobe slaves ]# ls 
192.168.10.arpa linuxprobe.com.zone 
[root@linuxprobe slaves]# nslookup 

> www. linuxprobe.com 

Server: 192.168.10.20 

Address: 192.168.10.20#53 

Name: www. linuxprobe.com 


Address: 192.168.10.10 
> 192.168.10.10 


Server: 192.168.10.20 

Address: 192.168.10.20#53 

10.10.168.192.in-addr.arpa name = www.linuxprobe.com. 
10.10.168.192.in-addr.arpa name = ns.linuxprobe.com. 
10.10.168.192.in-addr.arpa name = mail.linuxprobe.com. 





13.4 安全 的 加 密 传输 


前 文 反 复 提 及 ， 域 名 解析 服务 是 互联 网 基础 设施 中 重要 的 
一 环 ， 几 乎 所 有 的 网 络 应 用 都 依赖 于 DNS 才能 正常 运行 。 如 果 
DNS 服务 发 生 故 障 ， 那 么 即便 Web 网 站 或 电子 邮件 系统 服务 等 
都 正常 运行 ， 用 户 也 无 法 找到 并 使 用 它们 了 。 














互联 网 中 的 绝 大 多 数 DNS 服 务 器 (超过 95%) 都 是 基于 
BIND 域 名 解析 服务 搭建 的 ， 而 bind 服 务 程序 为 了 提供 安全 的 
解析 服务 ， 已 经 对 TSIG (RFC 2845) 加密 机 制 提 供 了 支持 。 
TSIG 主 要 是 利用 了 密码 编码 的 方式 来 保护 区 域 信息 的 传输 
(Zone Transfer) ， 即 TSIG 加 密 机 制 保证 了 DNS 服 务 器 之 间 传 
输 域名 区 域 信息 的 安全 性 。 














接 下 来 的 实验 依然 使 用 了 表 13-2 中 的 两 台 服 务 器 。 


书 接 上 回 。 前 面 在 从 服务 器 上 配 受 bind 服 务 程序 并 重 局 
后 ， 即 可 看 到 从 主 服务 器 中 获取 到 的 数据 配置 文件 。 





[root@linuxprobe ~]# ls -al /var/named/slaves/ 
total 12 


drwxrwx---. 2 named named 54 Jun 7 16:02 . 
drwxr-x---. 6 root named 4096 Jun 7 15:58 .. 
-rw-r--r--. 1 named named 432 Jun 7 16:02 192.168.10.a 
rpa 


-rw-r--r--. 1 named named 439 Jun 7 16:02 linuxprobe.c 


第 1 步 : 在 主 服 务 器 中 生成 密 钥 。dnssec-keygen 命 令 用 于 
生成 安全 的 DNS 服 务 密 钥 ， 其 格式 为 “dnssec-keygen [参数 ]， 
常用 的 参数 以 及 作用 如 表 13-3 所 示 。 


w 


413-3 ”dnssec-keygen 命 令 的 常用 参数 


指定 加 密 算法 ， 包 括 RSAMD5 (RSA) . RSASHA1. DSA, 
NSEC3RSASHA1、NSEC3DSA 等 


aR EAE CHMAC-MD5 的 密 钥 长 度 在 1~512 位 之 间 ) 





> |e (HOST 表 示 与 主机 相关 ) 


使 用 下 述 命令 生成 一 个 主机 名 称 为 master-slave 的 128 位 
HMAC-MD5 算 法 的 密 钥 文件 。 在 执行 该 命令 后 默认 会 在 当前 
目录 中 生成 公 钥 和 私 钥 文件 ， 我 们 需要 把 私 钥 文 件 中 Key 参 数 
后 面 的 值 记 录 下 来 ， 一 会 儿 要 将 其 写 入 传输 配置 文件 中 。 


[root@linuxprobe ~]# dnssec-keygen -a HMAC-MD5 -b 128 - 








n HOST master-slave 
Kmaster-slave.+157+46845 
[root@linuxprobe ~]# ls -al Kmaster-slave.+157+46845. * 


-Pw------- . 1 root root 56 Jun 7 16:06 Kmaster-slave.+1 
57446845.key 
-Pw------- . 1 root root 165 Jun 7 16:06 Kmaster-slave.+ 


157+46845 .private 

[root@linuxprobe ~]# cat Kmaster-slave.+157+46845.priva 
te 

Private-key-format: v1.3 

Algorithm: 157 (HMAC MD5) 

Key: 1XEEL3tGSDNLOw+1WHfE3Q== 

Bits: AAA- 

Created: 20170607080621 

Publish: 20170607080621 

Activate: 20170607080621 





第 2 步 : 在 主 服务 器 中 创建 密 钥 验证 文件 。 进 入 bind 服 务 
程序 用 于 保存 配置 文件 的 目录 ， 把 刚刚 生成 的 密 钥 名 称 、 加 密 
算法 和 私 钥 加 密 字 符 串 按照 下 面 格式 写 入 到 tansfer.key 传 输 配 
置 文件 中 。 为 了 安全 起 见 ， 我 们 需要 将 文件 的 所 属 组 修改 成 
named， 并 将 文件 权限 设置 得 要 小 一 点 ， 然 后 把 该 文件 做 一 个 
人 硬 链 接 到 /etc 目 录 中 。 











[root@linuxprobe ~]# cd /var/named/chroot/etc/ 
[root@linuxprobe etc]# vim transfer.key 

key "master-slave" { 

algorithm hmac-md5; 

secret "1XEEL3tGSDNLOW+1WHFfE3Q==" ; 

}; 


[root@linuxprobe ~]# chown root:named transfer.key 


[root@linuxprobe ~]# chmod 64@ transfer.key 
[root@linuxprobe ~]# ln transfer.key /etc/transfer.key 

第 3 步 : 开局 并 加 载 Bind 服 务 的 密 钥 验证 功能 。 首 先 需 要 
在 主 服 务 絮 的 主 配 置 文件 中 加 载 密 钥 验 证 文件 ， 然 后 进行 设 
置 ， 使 得 只 人 允许 带 有 master-slave 密 钥 认 证 的 DNS 服 务 器 同步 数 
据 配置 文件 : 














[root@linuxprobe ~]# vim /etc/named.conf 

I df 

2 // named.conf 

3 // 

4 // Provided by Red Hat bind package to configure the 
ISC BIND named(8) DNS 

5 // server as a caching only nameserver (as a localho 
st DNS resolver only). 

6 // 

7 // See /usr/share/doc/bind*/sample/ for example name 
d configuration files. 

8 // 

9 include "/etc/transfer.key"; 

10 options { 

11 listen-on port 53 { any; }; 

12 listen-on-v6 port 53 ( ::1; }; 

13 directory "/var/named"; 

14 dump-file "/var/named/data/cache dump.db"; 

15 statistics-file "/var/named/data/named stats.txt"; 
16 memstatistics-file "/var/named/data/named mem stats 
txt”: 

17 allow-query { any; }; 

18 allow-transfer { key master-slave; }; 


donc 省 略 部 分 输出 信息 .ee 


[root@linuxprobe ~]# systemctl restart named 


至 此 ，DNS 主 服务 器 的 TSIG 密 钥 加 密 传输 功能 就 已 经 配 
置 完 成 。 此 时 清空 DNS 从 服务 器 同步 目录 中 所 有 的 数据 配置 文 
件 ， 然 后 再 次 重启 bind 服 务 程序 ， 这 时 就 已 经 不 能 像 刚 才 那 样 
自动 获取 到 数据 配置 文件 了 。 











[root@linuxprobe ~]# rm -rf /var/named/slaves/* 
[root@linuxprobe ~]# systemctl restart named 
[root@linuxprobe ~]# ls /var/named/slaves/ 








第 4 步 : 配置 从 服务 器 ， 使 其 文 持 密 钥 验证 。 配 置 DNS 从 
服务 器 和 主 服务 器 的 方法 大 致 相同 ， 都 需要 在 bind 服 务 程 序 的 
配置 文件 目录 中 创建 密 钥 认证 文件 ， 并 设置 相应 的 权限 ， 然 后 
把 该 文件 做 一 个 便 链 接 到 /etc 目 录 中 。 











[root@linuxprobe ~]# cd /var/named/chroot/etc 
[root@linuxprobe etc]# vim transfer.key 

key "master-slave" { 

algorithm hmac-md5; 

secret "1XEEL3tGSDNLOwW+1WHFE3Q==" ; 


}; 

[root@linuxprobe etc]# chown root:named transfer.key 
[root@linuxprobe etc]# chmod 640 transfer.key 
[root@linuxprobe etc]# ln transfer.key /etc/transfer.key 





第 5 步 : JPG FUIL IR A as HU 2S IAS UEDUHE. 1X 27 8] 
操作 步 又 也 同样 是 在 主 配置 文件 中 加 载 密 钥 认 证 文件 ， 然 后 按 








照 指 定格 式 写 上 主 服务 器 的 IP 地 址 和 和 密 钥 名 称 。 注 意 ， 密 钥 名 
称 等 参数 位 置 不 要 太 徘 前 ， 大 约 在 第 43 行 比较 合适 ， 否 则 bind 
服务 程序 会 因为 没有 加 载 完 预 设 参 数 而 报错 : 





[root@linuxprobe etc]# vim /etc/named.conf 

1 // 

2 // named.conf 

3 // 

4 // Provided by Red Hat bind package to configure the 

ISC BIND named(8) DNS 

5 // server as a caching only nameserver (as a localho 
st DNS resolver only). 

6 // 

7 // See /usr/share/doc/bind*/sample/ for example name 
d configuration files. 

8 // 

9 include "/etc/transfer.key"; 

10 options { 

11 listen-on port 53 { 127.0.0.1; }; 

12 listen-on-v6 port 53 ( ::1; }; 

13 directory "/var/named"; 

14 dump-file "/var/named/data/cache dump.db"; 

15 statistics-file "/var/named/data/named stats.txt"; 
16 memstatistics-file "/var/named/data/named mem stats 
txt"; 

17 allow-query { localhost; }; 

18 

19 /* 

20 - If you are building an AUTHORITATIVE DNS server, 
do NOT enable recursion. 

21 - If you are building a RECURSIVE (caching) DNS ser 
ver, you need to enable 

22 recursion. 


23 - If your recursive DNS server has a public IP addr 
ess, you MUST enable access 

24 control to limit queries to your legitimate users. 
Failing to do so will 

25 cause your server to become part of large scale DNS 
amplification 

26 attacks. Implementing BCP38 within your network wou 
ld greatly 

27 reduce such attack surface 

28 */ 

29 recursion yes; 

30 

31 dnssec-enable yes; 

32 dnssec-validation yes; 

33 dnssec-lookaside auto; 

34 

35 /* Path to ISC DLV key */ 

36 bindkeys-file "/etc/named.iscdlv.key"; 

37 

38 managed-keys-directory "/var/named/dynamic" ; 

39 

40 pid-file "/run/named/named.pid"; 

41 session-keyfile "/run/named/session.key"; 

42 jj 

43 server 192.168.10.10 

44 ( 

45 keys ( master-slave; ); 

46 }; 

47 logging ( 

48 channel default debug { 

49 file "data/named.run"; 

50 severity dynamic; 

51 }; 

52 }; 

53 

54 zone "." IN { 


55 type hint; 
56 file "named.ca"; 
57 }; 


59 include "/etc/named.rfc1912.zones"; 
60 include "/etc/named.root.key"; 








BOL: DNS 从 服务 器 同步 域名 区 域 数据 。 现 在 ， 两 台 服 
务 器 的 bind 服 务 程序 都 已 经 配置 妥当 ， 并 匹配 到 了 相同 的 密 铀 
认证 文件 。 接 下 来 在 从 服务 器 上 重启 bind 服 务 程序 ， 可 以 发 现 
又 能 顺利 地 同步 到 数据 配置 文件 了 。 











[root@linuxprobe ~]# systemctl restart named 


[root@linuxprobe ~]# ls /var/named/slaves/ 
192.168.10.arpa linuxprobe.com.zone 





13.5 “部署 缓存 服务 器 





DNS 缓存 服务 器 〈Caching DNS Server) 是 一 种 不 负责 域 
名 数据 维护 的 DNS 服务 器 。 人 简单 来 说， 缓存 服务 器 就 是 把 用 户 
经 常 使 用 到 的 域名 与 IP 地 址 的 解析 记录 保存 在 主机 本 地 ， 从 而 
提升 下 次 解析 的 效率 。DNS 绥 存 服务 器 一 般 用 于 经 常 访问 某 些 
固定 站 点 而 且 对 这 些 网 站 的 访问 速度 有 较 高 要 求 的 企业 内 网 
中 ， 但 实际 的 应 用 并 不 广泛 。 而 且 ， 组 存 服务 器 是 否 可 以 成 功 
解析 还 与 指定 的 上 级 DNS 服务 器 的 允许 策略 有 关 ， 因 此 当前 仅 
需 了 解 即 可 。 














第 1 步 : 配置 系统 的 双 网 卡 参 数 。 前 面 讲 到 ， 组 存 服务 器 
一 般 用 于 企业 内 网 ， 旨 在 降低 内 网 用 户 碍 询 DNS 的 时 间 消 耗 。 
因此 ， 为 了 更 加 贴近 真实 的 网 络 环境 ， 实 现 外 网 查询 功能 ， 我 
们 需要 在 绥 存 服务 器 中 再 添加 一 块 网 卡 ， 并 按照 表 13-4 所 示 的 
言 轧 来 配置 出 两 台 Linux 虚 拟 机 系统 。 而 且 ， 还 需要 在 虚拟 机 
软件 中 将 新 添加 的 网 卡 设置 为 "桥接 模式 ”， 然 后 设置 成 与 物理 
设备 相同 的 网 络 参 数 〈 此 处 需要 大 家 按照 物理 设备 真实 的 网 络 
参数 来 配置 ， 图 13-6 所 示 为 以 DHCP 方 式 获 取 IP 地 址 与 网 关 等 
言 息 ， 重 局 网 络 服务 后 的 效果 如 图 13-7 所 示 )〉。 


表 13-4 用 于 配置 Linux 虚 拟 机 系统 所 需 的 参数 信息 
| 














主机 | 操作 
名 称 | 系统 


IP 地 址 





服务 








RHEL | 网 卡 ( 外 网 ) : 根据 物理 设备 的 网 络 参 数 进行 配置 〈 通 
7 过 DHCP 或 手动 方式 指定 IP 地 址 与 网 关 等 信息 ) 


ait 


客户 | RHEL 
E 192.168.10.20 
端 7 


BHE CAP) : 192.168.10.10 








root@linuxprobe:~/Desktop 
File Edit View Search Terminal Help 


connection 


ETHERNET <Show> 
IPv4 CONFIGURATION <Automatic> 


<Show> 
IPv6 CONFIGURATION <Automatic> 


<Show> 


] Automatically connect 
[X] Available to all users 


«Cancel» BS 





图 13-6 ”以 DHCP 方 式 获取 网 络 参 数 








root@linuxprobe:~/Desktop - | 口 


File Edit View Search Terminal Help 
[root@Linuxprobe Desktop]# ifconfig 
enol6777736: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500 
inet 192.168.1.104 netmask 255.255.255.0 broadcast 192.168.1.255 
inet6 fe80::20c:29ff:feab:aaaf prefixlen 64 scopeid 0x20<Link> 
ether 00:0c:29:ab:aa:af txqueuelen 1000 (Ethernet) 
RX packets 508 bytes 39687 (38.7 KiB) 
RX errors © dropped © overruns © frame 0 
TX packets 53 bytes 6835 (6.6 KiB) 
TX errors © dropped © overruns O carrier © collisions 0 


eno33554984: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500 
inet 192.168.10.10 netmask 255.255.255.0 broadcast 192.168.10.255 
inet6 fe80::20c:29ff:feab:aab9 prefixlen 64 scopeid 0x20<Link> 
ether 00:0c:29:ab:aa:b9 txqueuelen 1000 (Ethernet) 
RX packets 76 bytes 7596 (7.4 KiB) 


RX errors 9 dropped 9 overruns 9 frame 0 仅 主 机 模式 网 卡 


TX packets 29 bytes 4221 (4.1 KiB) 
TX errors © dropped © overruns @ carrier © collisions 0 


lo: flags=73<UP,LOOPBACK,RUNNING> mtu 65536 
inet 127.0.0.1 netmask 255.0.0.0 
inet6 ::1 prefixlen 128 scopeid OxlO«host» 
loop txqueuelen © (Local Loopback) 
RX packets 905 bytes 73464 (71.7 KiB) 
RX errors © dropped © overruns © frame 0 
TX packets 905 bytes 73464 (71.7 KiB) 
TX errors © dropped © overruns @ carrier © collisions 0 


图 13-7 查看 网 卡 的 工作 状态 


第 2 步 : 在 bind 服 务 程 序 的 主 配置 文件 中 添加 缓存 转发 参 
数 。 在 大 约 第 17 行 处 添加 一 行 参数 “forwarders { 上 级 DNS 服务 
器 地 址 ; }3”， 上 级 DNS 服务 器 地 址 指 的 是 获取 数据 配置 文件 的 
服务 器 。 考 虑 到 查询 速度 、 稳 定性 、 安 全 性 等 因素 ， 刘 遂 老 师 
在 这 里 使 用 的 是 北京 市 公共 DNS 服务 器 的 地 址 210.73.64.1。 如 
果 大 家 也 使 用 该 地 址 ， 请 先 测试 是 否 可 以 ping 通 ， 以 免 导致 
DNS 域 名 解析 失败 。 














[root@linuxprobe ~]# vim /etc/named. conf 
1 // 
2 // named.conf 
3 // 
4 // Provided by Red Hat bind package to configure the 
ISC BIND named(8) DNS 
5 // server as a caching only nameserver (as a localhos 
t DNS resolver only). 
6 // 
7 // See /usr/share/doc/bind*/sample/ for example named 
configuration files. 
8 // 
9 options { 
10 listen-on port 53 ( any; }; 
11 listen-on-v6 port 53 ( ::1; }; 
12 directory "/var/named"; 
13 dump-file "/var/named/data/cache dump.db"; 
14 statistics-file "/var/named/data/named stats.txt"; 
15 memstatistics-file "/var/named/data/named mem stats. 
txt"; 
16 allow-query { any; }; 
17 forwarders { 210.73.64.1; }; 
省 略 部 分 输出 信息 .……… 


[root@linuxprobe ~]# systemctl restart named 





第 3 步 : 重启 DNS 服务 ， 验 证 成 果 。 把 客户 端 主机 的 DNS 
服务 器 地 址 参数 修改 为 DNS 缓存 服务 器 的 也 地 址 
192.168.10.10， 如 图 13-8 所 示 。 这 样 即 可 让 客户 端 使 用 本 地 
DNS 绥 存 服 务 器 提供 的 域名 查询 解析 服务 。 








root@localhost:~/Desktop bali ata 


File Edit View Search Terminal Help 


Edit connection 


Profile name 四 [el 


1 
9 LI 
Device [OMIM 
z ETHERNET «Show» 
IPv4 CONFIGURATION «Manual» «Hide» 
1 


«Remove» 


Gatewa 
DNS servers MEPEMIESIPRECPEEO 
<AQOQ... 
Search domains <Add...> 


Routing (No custom routes) <Edit...> 
[ ] Never use this network for default route 


[X] Require IPv4 addressing for this connection 





图 13-8 ”设置 客户 端 主机 的 DNS 服务 器 地 址 参数 





在 将 客户 端 主机 的 网 络 参数 设置 妥当 后 重 局 网 络 服务 ， 即 
可 使 用 nslookup 命 令 来 验证 实验 结果 (如 果 解 析 失 败 ， 请 读者 
留意 是 否 是 上 级 DNS 服 务 器 选择 的 问题 o HP, Servera% 
为 域名 解析 记录 提供 的 服务 器 地 址 ， 因 此 可 见 是 由 本 地 DNS 组 
存 服务 器 提供 的 解析 内 容 。 




















[root@linuxprobe ~]# nslookup 
> www. linuxprobe.com 

Server: 192.168.10.10 
Address: 192.168.10.10#53 


Non-authoritative answer: 


Name: www.linuxprobe.com 
Address: 113.207.76.73 
Name: www.linuxprobe.com 
Address: 116.211.121.154 
» 8.8.8.8 

Server: 192.168.10.10 
Address: 192.168.10.10#53 


Non-authoritative answer: 

8.8.8.8.in-addr.arpa name = google-public-dns-a.google. 
com. 

Authoritative answers can be found from: 

in-addr.arpa nameserver .in-addr-servers.arpa. 
in-addr.arpa nameserver = b.in-addr-servers.arpa. 
in-addr.arpa nameserver = a.in-addr-servers.arpa. 
in-addr.arpa nameserver = e.in-addr-servers.arpa. 
in-addr.arpa nameserver = d.in-addr-servers.arpa. 
in-addr.arpa nameserver = c.in-addr-servers.arpa. 
a.in-addr-servers.arpa internet address = 199.212.0.73 
a.in-addr-servers.arpa has AAAA address 2001:500:13::73 
b.in-addr-servers.arpa internet address = 199.253.183.1 
83 

b.in-addr-servers.arpa has AAAA address 2001:500:87: :87 
c.in-addr-servers.arpa internet address = 196.216.169.1 
0 

c.in-addr-servers.arpa has AAAA address 2001:43f8:110:: 
10 

d.in-addr-servers.arpa internet address - 200.10.60.53 
d.in-addr-servers.arpa has AAAA address 2001:13c7:7010: 
:53 

.in-addr-servers.arpa internet address = 203.119.86.10 


CQ. (D & O -h 


.in-addr-servers.arpa has AAAA address 2001:dd8:6::101 
.in-addr-servers.arpa internet address = 193.0.9.1 
.in-addr-servers.arpa has AAAA address 2001:67c:e0::1 


hhor 





13.6 ”分离 解析 技术 


现在 ， 喜 欢 看 我 们 这 本 《Linux 就 该 这 么 学 》 的 海外 读者 
越 来 越 多 ， 如 果 继 续 把 本 书 配套 的 网 站 服务 器 
Chttp://www.linuxprobe.com) 架设 在 北京 市 的 机 房 内 ， 则 海外 
读者 的 访问 速度 势必 会 很 慢 。 可 如 果 把 服务 器 架设 在 美国 那 边 
的 机 房 ， 也 将 增 大 国内 读者 的 访问 难度 。 











为 了 满足 海内 外 读者 的 需求 ， 外 加 刘 道 老师 不 差 钱 ， 于 是 
可 以 购买 多 台 服 务 器 并 分 别 部 署 在 全 球 各 地 ， 然 后 再 使 用 DNS 
服务 的 分 离 解 析 功 能 ， 即 可 让 位 于 不 同 地 理 范 围 内 的 读者 通过 
访问 相同 的 网 址 ， 而 从 不 同 的 服务 器 获取 到 相同 的 数据 。 例 
如 ， 我 们 可 以 按照 表 13-5 所 示 ， 分 别 为 处 于 北京 的 DNS 服务 器 
和 处 于 美国 的 DNS 服务 器 分 配 不 同 的 耳 地 址 ， 然 后 让 国内 读者 
在 访问 时 自动 匹配 到 北京 的 服务 器 ， 而 让 海外 读者 自动 匹配 到 
美国 的 服务 器 ， 如 图 13-9 所 示 。 


表 13-5 ”不同 主 机 的 操作 系统 与 1P 地 址 情 

















DNS 服务 器 RHEL 7 北京 网 络 : 122.71.115.10 


美国 网 络 : 106.185.25.10 


内 读者 Windows 7 122.71.115.1 


海外 读者 Windows7 106.185.25.1 













国内 读者 : 122,71.115.1 北京 机 房 : 122.71.115.15 


| 
海外 读者 : 106.185.25.1 美国 机 房 : 106.185.25.15 


图 13-9 DNS 分 离 解 析 技 术 






eno16777736:122.71.115.10 
eno33554984:106.185.25.10 





为 了 解决 海外 读者 访问 http:/www.Linuxprobe.com 时 的 速 
度 问 题 ， 刘 道 老 师 已 经 在 美国 机 房 购买 并 架设 好 了 相应 的 网 站 
ARB a, BER OR EF EB DNS ARS as FF SAT 
能 ， 以 便 让 不 同 地 理 区 域 的 读者 在 访问 相同 的 域名 时 ， 能 解析 
出 不 同 的 也 地 址 。 





建议 大 家 将 虚拟 机 还 原 到 初始 状态 ， 并 重新 安装 bind 服 务 程序 ， 


以 免 多 个 实验 之 间 相 互 产生 冲突 。 





第 1 步 : 修改 bind 服 务 程 序 的 主 配置 文件 ， 把 第 11 行 的 监 
听 端 口 与 第 17 行 的 允许 碍 询 主机 修改 为 any。 由 于 配置 的 DNS 
分 离 解 析 功 能 与 DNS 根 服务 器 配置 参数 有 冲突 ， 所 以 需要 把 第 
51~54 行 的 根 域 信息 删除 。 





[root@linuxprobe ~]# vim /etc/named.conf 

省 上 略 部 分 输出 信息 

logging { 

channel default debug { 

file "data/named.run"; 

severity dynamic; 

}; 

}; 


zone "." IN 


type hint; 
file "named.ca"; 


lH 


include "/etc/named.rfc1912. zones"; 
include "/etc/named.root.key"; 


省 略 部 分 输出 信息 .ee 








第 2 步 : 编辑 区 域 配置 文件 。 把 区 域 配置 文件 中 原 有 的 数 
据 清 空 ， 然 后 按照 以 下 格式 写 入 参数 。 首 先 使 用 acl 参 数 分 别 
定义 两 个 变量 名 称 (china 与 american) ， 当 下 面 需要 匹配 IP 地 





DLN AS AY PEI RI. EAA DA Al, qu Ate 
利于 修改 维护 。 这 里 的 难点 是 理解 view 参 数 的 作用 。 它 的 作用 
是 通过 判断 用 户 的 耳 地 址 是 中 国 的 还 是 美国 的 ， 然 后 去 分 别 加 
载 不 同 的 数据 配置 文件 〈linuxprobe.com.china 或 
linuxprobe.com.american) 。 这 样 ， 当 把 相应 的 IP 地 址 分 别 写 入 
到 数据 配置 文件 后 ， 即 可 实现 DNS 的 分 离 解 析 功 能 。 这 样 一 
来 ， 当 中 国 的 用 户 访 问 linuxprobe.com 域名 时 ， 便 会 按照 
linuxprobe.com.china 数 据 配 置 文件 内 的 IP 地 址 找到 对 应 的 服务 
Ss 





[root@linuxprobe ~]# vim /etc/named.rfc1912.zones 
acl "china" { 122.71.115.0/24; }; 
acl "american" { 106.185.25.0/24;}; 
view "china"{ 
match-clients { "china"; }; 

zone "linuxprobe.com" { 
type master; 
file "linuxprobe.com.china"; 

}; 

}; 

view "american" { 

match-clients { "american"; }; 
zone "linuxprobe.com" ( 

type master; 

file "linuxprobe.com.american"; 

}; 

}; 


1 
2 
3 
4 
5 
6 
7 
8 





第 3 步 : 建立 数据 配置 文件 。 分 别 通过 模板 文件 创建 出 两 








份 不 同名 称 的 区 域 数 据 文件 ， 其 名 称 应 与 上 面 区 域 配置 文件 中 
的 参数 相对 应 。 





[root@linuxprobe ~]# cd /var/named 
[root@linuxprobe named]# cp -a named.localhost linuxpro 
be.com.china 


[root@linuxprobe named]# cp -a named.localhost linuxpro 
be.com.american 
[root@linuxprobe named]# vim linuxprobe.com.china 









linuxprobe.com. root.linuxprobe.com. |( 


# 域 名 管理 员 的 邮 


#DNS 区 域 的 地 址 | 箱 (不 要 用 @ 符 
5) 


O;serial 


I 7 
I i 
IE u 


3H);minimum 


# 域 名 服务 器 记录 


EN 

IN # 地 址 记录 

ns 122.71.115.10 

A (ns.linuxprobe.com. ) 
IN 

122 7L 15.15 

A 


ns.linuxprobe.com. 





# 地 址 记录 


(www.linuxprobe.com. ) 


WWW 





[root@linuxprobe named]# vim linuxprobe.com.American 





$TTL| Jä 
1D | 期 





linuxprobe.com. root.linuxprobe.com. | ( 


# 域 名 管理 员 的 邮 
箱 〈 不 要 用 @ 符 





O;serial 


1D;refresh 


]Hiretry 


ns 





106.185.25.10 


1W;expire 


3H);minimum 


# 域 名 服务 器 记录 


# 地 址 记录 


Cns.linuxprobe.com. ) 


IN 
WWW ^ 106.185.25.15 





# 地 址 记录 


(www.linuxprobe.com. ) 


第 4 步 : 重新 局 动 named 服 务 程序 ， 验 证 结果 。 将 客户 端 
主机 (Windows 系 统 或 Linux 系 统 均 可 ) 的 IP 地 址 分 别 设置 为 
122.71.115.1 与 106.185.25.1， 将 DNS 地 址 分 别 设置 为 服务 器 主 
机 的 两 个 IP 地 址 。 这 样 ， 当 尝试 使 用 nslookup 命 令 解析 域名 时 
束 能 清晰 地 看 到 解析 结果 ， 分 别 如 图 13-10 与 图 13-11 所 示 。 


BC\Windows\system32\cmd.exe 


Microsoft Windows [RÆ 6.1.76811 
版 权 所 有 <c) 2669 Microsoft 


nKnown 


图 13-10 


Corporation。 保 留 所 有 权利 o 





arma 








/IPv4) fet LM Np 


=) | 则 可 以 获取 自动 指派 的 IP 设置 。 SM, 
Pie erie, an 


l22- i lS .ll 
255 .255 .255 . 0 


122 . 71 .115 . 10 
dh (6 
RAH E 
| 
) ( SR... | 
| 确定 |]| 取消 | 








模拟 中 国 用 户 的 域名 解析 操作 











C:A\Windows\system32\cmd.exe 


Microsoft Windows ES 6.1.76611 ‘ | 
版 所 有 <c) 2669 Microsoft Corporation. TR ERI 








iC: Users \linuxprobe>nslookup www. linuxprobe .com 
Unknown 
106.185.25.10 
值 


www. linuxprobe.com 


106.185.25.15 Intel (R) PRO/1000 MT Network Conr 


DD-DC-4B 





106.185. 25.1 


IC: Wsers \linuxprobe > 
255. 255. 255. 0 


106. 185. 25. 10 
106. 185. 25. 10 


[=] 
下 


fe80: : da9:9e2:a87:6028%11 


Rid ©) 

















图 13-11 模拟 美国 用 户 的 域名 解析 


复习 题 
1. DNS 技术 提供 的 三 种 类 型 的 服务 器 分 别 是 什么 ? 


答 : DNS 主 服务 器 、DNS 从 服务 器 与 DNS 缓存 服 务 器 。 





2. DNS 服务 器 之 间 传 输 区 域 数据 文件 时 ， 使 用 的 是 递归 
查询 还 是 迭代 查询 ? 

答 : DNS 服 务 器 之 间 是 迭代 查询 ， 用 户 与 DNS 服 务 器 之 间 
是 递归 查询 。 

3. 在 Linux 系 统 中 使 用 Bind 服 务 程序 部 署 DNS 服 务 时 ， 为 
什么 推荐 安装 chroot 插 件 ? 








A: 能 有 效 地 限制 Bind 服 务 程序 仅 能 对 自 员 的 配置 文件 进 
行 操作 ， 以 确保 整个 服务 器 的 安全 。 


4. 在 DNS 服 务 中 ， 正 疝 解 析 和 反问 解析 的 作用 是 什么 ? 


答 : 正 问 解 析 是 将 指定 的 域名 转换 为 IP 地 址 ， 而 反问 解析 
则 是 将 IP 地 址 转换 为 域名 。 正 疝 解 析 模 式 更 为 常用 。 


5. 是 否 可 以 限制 使 用 DNS 域名 解析 服务 的 主机 ? 如 何 限 
m? 


ps 


ET e 





是 的 ， 修 改 主 配置 文件 中 第 17 行 的 alow-query 参 数 即 


6. 部 署 DNS 从 服务 器 的 作用 是 什么 ? 


X. 


答 : TE MARA A A WHE EARS RRE, Xe n] VÀ 
提升 用 户 的 碍 询 效 率 。 





7， 当 用 户 与 DNS 服 务 器 之 间 传 输 数 据 配置 文件 时 ， 是 否 
可 以 使 用 TSIG 加 密 机 制 来 确保 文件 内 容 不 被 修改 ? 


答 : 不 能 ，TSIG 加 密 机 制 保障 的 是 DNS 服务 器 与 DNS 服 
务 器 之 间 和 迭代 查询 的 安全 。 


8. 部 车 DNS 组 人 存 服务 器 的 作用 是 什么 ? 

答 : DNS 绥 存 服务 器 把 用 户 经 常 使 用 到 的 域名 与 1P 地 址 的 
解析 记录 保存 在 主机 本 地 ， 从 而 提升 下 次 解析 的 效率 。 一 般 用 
于 经 钊 访问 茶 些 固定 站 点 而 且 对 这 些 网 站 的 访问 速度 有 较 高 要 
求 的 企业 内 网 中 ， 但 实际 的 应 用 并 不 广泛 。 





9. DNS 分 离 解析 技术 的 作用 是 什么 ? 


DAS 


E 





可 以 让 位 于 不 同 地 理 范 围 内 的 读者 通过 访问 相同 的 网 


址 ， 而 从 不 同 的 服务 堪 获 取 到 相同 的 数据 ， 以 提升 访问 效率 。 











第 14 章 ”使 用 DHCP 动 态 管理 主机 地 址 





动态 主机 配置 协议 ; 








部 署 dhcpd 服 务 程 序 ; 


自动 管理 IP 地 址 ; 






分 配 固定 卫 地 址 。 





本 章 讲解 动态 主机 配置 协议 (DHCP, Dynamic Host 








Configuration Protocol) ， 该 协议 用 于 自动 管理 局 域 网 内 主机 
的 IP 地 址 、 子 网 掩 码 、 网 关 地 址 及 DNS 地 址 等 参数 ， 可 以 有 效 
地 提升 卫 地 址 的 利用 率 ， 提 高 配置 效率 ， 并 降低 管理 与 维护 成 
本 。 














本 章 详细 讲解 了 在 Linux 系 统 中 配置 部 署 dhcpd 服 务 程序 的 
方法 ， 谢 析 了 dhcpd 服 务 程序 配置 文件 内 每 个 参数 并 
通过 自动 分 配 IP 地 址 、 绑 定 IP 地 址 与 MAC 地 址 等 实验 ， 让 各 位 
读者 更 直观 地 体会 DHCP 协 议 的 强大 之 处 。 








14.1 动态 主机 配置 协议 


动态 主机 配置 协议 CDHCPO 是 一 种 基于 UDP 协议 且 仅 限 
于 在 局 域 网 内 部 使 用 的 网 络 协 议 ， 主 要 用 于 大 型 的 局 域 网 环境 
或 者 存在 较 多 移动 办 公设 备 的 局 域 网 环境 中 ， 其 主要 用 途 是 为 
局 域 网 内 部 的 设备 或 网 络 供应 商 目 动 分 配 IP 地 址 等 参数 。 




















简单 来 说 ，DHCP 协 议 就 是 让 局 域 网 中 的 主机 自动 获得 网 
络 参数 的 服务 。 在 图 14-1 所 示 的 拓扑 图 中 存在 多 台 主 机 ， 如 果 
手动 配置 每 全 主机 的 网 络 参数 会 相当 麻烦 ， 日 后 维护 起 来 也 让 
人 头 大 。 而 且 当 机 房 内 的 主机 数量 进一步 增加 时 《比如 有 100 
台 ， 甚 至 1000 台 ) ， 这 个 手动 配置 以 及 维护 工作 的 工作 量 足 以 
让 运 维 人 员 崩 演 。 借 助 于 DHCP 协 议 ， 不 仅 可 以 为 主机 自动 分 
配 网 络 参数 ， 还 可 以 确保 主机 使 用 的 P 地 址 是 唯一 的 ， 更 重要 
的 是 ， 还 能 为 特定 主机 分 配 固 定 的 IP 地 址 。 











DHCP 协 议 的 应 用 十 分 广泛 ， 无 论 是 服务 器 机 房 还 是 家 
KE. WA. WAER, Bes LEVER ae. ELON, KPRM 
者 开 了 一 家 咖啡 厅 ， 在 为 顾客 提供 咖啡 的 同时 ， 还 为 顾客 免费 
提供 无 线 上 网 服务 。 这 样 一 来 ， 顾 客 就 可 以 一 边民 意 地 哆 着 咖 
啡 ， 一 边 连 独 无 线 网 络 刷 朋 友 圈 了 。 但 是 ， 作 为 咖啡 厅 老 板 的 
RE, BREDTE WRAD 为 每 一 位 造访 的 顾客 手动 设置 














IP 地 址 、 子 网 掩 码 、 网 关 地 址 等 信息 。 男 外 ， 考 虑 到 咖啡 馆 使 
用 的 内 网 网 段 一 般 为 192.168.10.0/24 (C 类 私有 地 址 ) ， 最 多 
能 容纳 的 主机 数 为 200 多 台 。 而 咖啡 厅 一 天 的 客流 量 肯 定 不 止 
200 人 。 如 果 采 用 手动 方式 为 他 们 分 配 卫 地 址 ， 则 当 他 们 在 离 
开 咖 啡 厅 时 并 不 会 自动 释放 这 个 卫 地 址 ， 这 就 可 能 出 现下 地 址 
不 够 用 的 情况 。 这 一 方面 会 造成 卫 地 址 的 浪费 ， 另 外 一 方面 也 
增加 的 卫 地 址 的 管理 成 本 。 而 使 用 DHCP 协 议 ， 这 一 切 都 迎 丸 
而 解 一 一 老板 只 雷 安 心服 务 好 顾客 ， 为 其 提供 美味 的 咖啡 ， 顾 
客 通 过 运行 DHCP 协 议 的 服务 器 自动 获得 上 网 所 需 的 IP 地 址 ， 

等 离开 咖啡 厅 时 IP 地 址 将 被 DHCP 服 务 器 收回 ， 以 备 其 他 顾客 
使 用 。 

















DHCP 服务 器 
192.168.10.0/24 


192.168.10.1 192.168.10.2 192.168.10.3 192.168.10.4 192.168.10.5 192.168.10.6 


图 14-1 DHCP 协 议 的 拓扑 示意 图 








既然 确定 在 今后 的 生产 环境 中 肯定 离 不 开 DHCP SS, ALA 
也 就 有 必要 好 好 地 熟悉 一 下 DHCP 涉 及 的 常见 术语 了 。 





o FHE: 一 个 完整 的 了 地 址 段 ，DHCP 协 议 根据 作用 域 来 
管理 网 络 的 分 布 、 分 配 卫 地 址 及 其 他 配置 参数 。 

。 超 级 作用 域 : 用 于 管理 处 于 同一 个 物理 网 络 中 的 多 个 逻辑 
子 网 段 。 超 级 作用 域 中 包含 了 可 以 统一 管理 的 作用 域 列 
表 。 

e 排除 范围 : 把 作用 域 中 的 某 些 IP 地 址 排除 ， 确 保 这 些 IP 地 
址 不 会 分 配给 DHCP 客 户 端 。 

e 地址 池 : 在 定义 了 DHCP 的 作用 域 并 应 用 了 排除 范围 后 ， 
剩余 的 用 来 动态 分 配给 DHCP 客 户 端 的 IP 地 址 范围 。 

e FAA]: DHCP 客 户 端 能 够 使 用 动态 分 配 的 卫 地 址 的 时 间 。 

e 预约 : 保证 网 络 中 的 特定 设备 总 是 获取 到 相同 的 IP 地 址 。 








14.2 ”部 署 dhcpd 服 务 程序 


dhcpd 是 Linux 系 统 中 用 于 提供 DHCP 协 议 的 服务 程序 。 尽 
管 DHCP 协 议 的 功能 十 分 强大 ， 但 是 dhcpd 服 务 程序 的 配置 步骤 
却 十 分 简单 ， 这 也 在 很 大 程度 上 降低 了 在 Linux 中 实现 动态 主 
机 管理 服务 的 门槛 。 





在 确认 Yum 软 件 仓库 配置 妥当 之 后 ， 安 闭 dhcpd 服 务 程 





序 ; 





[root@linuxprobe ~]# yum install dhcp 
Loaded plugins: langpacks, product-id, subscription-man 


ager 
This system is not registered to Red Hat Subscription M 
anagement. You can use 

subscription-manager to register. 

rhel | 4.1 kB 00:00 

Resolving Dependencies 

--» Running transaction check 

---» Package dhcp.x86 64 12:4.2.5-27.e17 will be instal 
led 

--» Finished Dependency Resolution 

Dependencies Resolved 


Installing: 
dhcp x86 64 12:4.2.5-27.e17 rhel 506 k 


Transaction Summary 


Install 1 Package 
Total download size: 506 k 
Installed size: 1.4 M 
Is this ok [y/d/N]: y 
Downloading packages: 
Running transaction check 
Running transaction test 
Transaction test succeeded 
Running transaction 
Installing : 12:dhcp-4.2.5-27.e17.x86 64 1/1 
Verifying : 12:dhcp-4.2.5-27.e17.x86 64 1/1 
Installed: 
dhcp.x86 64 12:4.2.5-27.e17 
Complete! 





查看 dhcpd 服 务 程序 的 配置 文件 内 容 。 


[root@linuxprobe ~]# cat /etc/dhcp/dhcpd.conf 
# DHCP Server Configuration file. 


# see /usr/share/doc/dhcp*/dhcpd.conf.example 
# see dhcpd.conf(5) man page 








eee on eee Ip un 4 有 3 
行 注释 语句 ， 这 意味 着 我 们 需要 上 自行 编写 这 个 文件 。 如 果 读 者 
不 知道 怎么 编写 ， 可 以 看 一 下 配置 文件 中 第 2 行 的 参考 示例 文 
件 ， 其 组 成 架构 如 图 14-2 所 示 。 











[root@linuxprobe ~ ]# vim /etc/dhcp/dhcpd.conf 


ddns-update-style interim; 7 
| E 全 局 配置 参数 
innore client-updates; 
subnet 192,168. 0020 netmask 255.2552255:0. 1 
子 网 网 段 声明 


option routers 19259 dq 0s is 


option subnet-mask 2:55. 2: 55.2 55. (ls 地 址 配置 选项 


default-lease-time 21600; 


max-lease-time 43200; 地 址 配置 参数 





图 14-2 ”dhcpd 服 务 程 序 配置 文件 的 架构 


一 个 标准 的 配置 文件 应 该 包括 全 局 配置 参数 、 子 网 网 段 声 
明 、 地 址 配置 选项 以 及 地 址 配置 参数 。 其 中 ， 全 局 配置 参数 用 
于 定义 dhcpd 服 务 程序 的 整体 运行 参数 ， 子 网 网 段 声明 用 于 配 
置 整个 子 网 段 的 地 址 属性 。 


考 夸 到 dhcpd 服 务 程 序 配置 文件 的 可 用 参数 比较 多 ， 刘 道 
老师 挑选 了 最 第 用 的 参数 〈 见 表 14-1) ， 并 逐一 进行 了 简单 介 
绍 ， 以 便 为 接 下 来 的 实验 打 好 基础 。 


表 14-1 ”dhcpd 服 务 程序 配置 文件 中 使 用 的 常见 参数 以 及 作 
用 





























定义 DNS 服务 动态 更 新 的 类 型 ， 类 型 包括 
none 〈 不 支持 动态 更 新 ) 、interim (互动 更 
新 模式 ) 与 ad-hoc〈 特 殊 更 新 模式 ) 





ddns -update- 





style [类 型 ] 













允许 /忽略 
客户 端 更 
新 DNS 记 
录 


"[allow ignore] client-updates' 


default-lease- 


time [21600] 的 认 超时 时 间 


max-lease-time . 
最 大 超时 时 间 


[43200] 


option domain- 


name-servers 定义 DNS 服务 器 地 址 


[8.8.8.8] 


option domain- 


name 定义 DNS 域名 


["domain.org"] 


定义 用 于 分 配 的 IP 地 址 池 


option subnet- 


mask 


option routers 


broadcase- 


address[J 4 

















址 ] 


ntp-server[IP 


地 址 ] 


nis-servers[IP 


地 址 ] 





Hardware[ 网 卡 


物理 地 址 ] 




















server-name[ 主 


机 名 ] 


fixed- 


address[IP 地 


定义 客户 端的 子 网 掩 码 


定义 客户 端的 网 关 地 址 


定义 客户 端的 广播 地 址 


定义 客户 端的 网 络 时 间 服 务 嚣 (NTP) 


定义 客户 端的 NIS 域 服务 器 的 地 址 


指定 网 卡 接口 的 类 型 与 MAC 地 址 


向 DHCP 客 户 端 通知 DHCP 服 务 器 的 主机 名 





将 某 个 固定 的 耳 地址 分 配给 指定 主机 


址 ] 


time-offset[ 偏 


指定 客户 并 与 格林 尼 治 时 间 的 偏 移 差 


移 误差 ] 





14.3 ”上 自动 管理 耳 地址 


DHCP 协 议 的 设计 初衷 是 为 了 更 高 效 地 集中 管理 局 域 网 内 
的 IP 地 址 资源 。DHCP 服 务 器 会 自动 把 IP 地 址 、 子 网 掩 码 、 网 
关 、DNS 地 址 等 网 络 信息 分 配给 有 需要 的 客户 端 ， 而 且 当 客户 
问 的 租约 时 间 到 期 后 还 可 以 自动 回收 所 分 配 的 P 地 址 ， 以 便 交 
给 新 加 入 的 客户 端 。 











为 了 让 实验 更 有 挑战 性 ， 刘 过 老师 来 模拟 一 个 真实 生产 环 
境 的 需求 : 





“机 房 运营 部 门 : 明天 会 有 100 名 学 员 自 带 笔记 本 
电脑 来 我 司 培训 学 习 ， 请 保证 他 们 能 够 使 用 机 房 的 本 
地 DHCP 服 务 器 自动 获取 IP 地 址 并 正常 上 网 ”。 





机 房 所 用 的 网 络 地 址 及 参数 信息 如 表 14-2 所 示 。 
表 14-2 ”机房 所 用 的 网 络 地 址 以 及 参数 信息 





默认 租约 时 间 21600 秒 


最 大 租约 时 间 43200 秒 


IP 地 址 范围 192.168.10.50—192.168.10.150 
jfi fg 255.255.255.0 
网 关 地 址 192.168.10.1 


在 了 解 了 真实 需求 以 及 机 房 网 络 中 的 配置 参数 之 后 ， 我 们 
按照 表 14-3 来 配置 DHCP 服 务 器 以 及 客户 端 。 








表 14-3 ”DHCP 服务 器 以 及 客户 并 的 配置 信息 





DHCP 服 务 器 RHEL 7 192.168.10.1 


DHCP 客 户 端 RHEL 7 自动 获取 





前 文 讲 到 ， 作 用 域 一 般 是 个 完整 的 卫 地 址 段 ， 而 地 址 池 中 
的 IP 地 址 才 是 真正 供 客 户 端 使 用 的 ， 因 此 地 址 池 应 该 小 于 或 等 
于 作用 域 的 IP 地 址 范围 。 男 外 ， 由 于 VMware Workstation 虚 拟 
机 软件 目 带 DHCP 服 务 ， 为 了 避免 与 自己 配置 的 dhcpd 服 务 程序 
产生 冲突 ， 应 该 先 按 照 图 14-3 和 图 14-4 所 示 将 虚拟 机 软件 自 融 
的 DHCP 功 能 关闭 。 














(@ RHEL7-1 - VMware Workstation 
| 











LED OI JE 


类 型 处 部 连接 EU DHCP 子 网 地 址 
桥接 模式 “自动 桥接 
VMneti {RW - itt = 192.168.75.0 


NAT 模式 ”NAT 模式 i 已 启用 192.168.169.0 











VMnet 信息 
O 桥接 模式 (将 虚拟 机 直接 连接 到 外 部 网 络 )(E) 

桥接 到 (D: 自动 || 自动 设置).… 
OAT 模式 {与 虚拟 机 共享 主机 的 下 地 址 )N) NAT 设置 (S)..… 
© 公主 机 模式 (在 专用 网 络 内 连接 虚拟 机 )(H) 


回 将 主机 虚拟 适 酸 器 连接 到 此 了 网 络 (VW) 
na VMware VMnet1 





DHCP 设置 (P)... 











子 网 IP (): 192 .168 .75 . 子 网 搞 码 (M): 255.255.255. 0 


ARREN fA) 





图 14-4 ”关闭 虚拟 机 自 带 的 DHCP 功 能 


可 随意 开启 几 台 客户 端 ， 准 备 进 行 验证 。 但 是 一 定 要 注 
意 ，DHCP 客 户 并 与 服务 器 需要 处 于 同一 种 网 络 模式 一 一 仅 主 
机 模式 《Hostonly) ， 人 否则 就 会 产生 物理 隅 离 ， 从 而 无 法 获取 
IP 地 址 。 间 咀 老 师 建 议 开 局 1~3 台 客户 并 虚拟 机 验证 一 下 效果 
就 好 ， 以 免 物理 主机 的 CPU 和 内 存 的 负载 太 高 。 














在 确认 DHCP 服 务 器 的 IP 地 址 等 网 络 信 息 配 置 妥当 后 就 可 








以 配置 dhcpd 服 务 程 序 了 。 请 注意 ， 在 配置 dhcpd 服 务 程序 时 ， 
配置 文件 中 的 每 行 参 数 后 面 都 需要 以 分 号 CO 结尾 ， 这 是 规 
定 。 另 外 ，dhcpd 服 务 程 序 配 置 文件 内 的 参数 都 十 分 重要 ， 
此 刘 台 老师 在 表 14-4 中 罗列 出 了 每 一 行 参数 ， 并 对 其 用 途 进行 
了 简单 介绍 。 








[root@linuxprobe ~]# vim /etc/dhcp/dhcpd. conf 
ddns-update-style none; 

ignore client-updates; 

subnet 192.168.10.0 netmask 255.255.255.0 { 
range 192.168.10.50 192.168.10.150; 

option subnet-mask 255.255.255.0; 


option routers 192.168.10.1; 

option domain-name "linuxprobe.com"; 
option domain-name-servers 192.168.10.1; 
default-lease-time 21600; 

max-lease-time 43200; 


) 





414-4 ”dhcpd 服 务 程序 配置 义 件 中 使 用 的 参数 以 及 作用 





ddns-update-style none; 设置 DNS 服务 不 自动 进行 动态 更 新 


ignore client-updates; 忽略 客户 端 更 新 DNS 记录 





subnet 192.168.10.0 netmask 作用 域 为 192.168.10.0/24 网 段 


255.255. 255.0 { 


range 192.168.10.50 IP 地 址 池 为 192.168.10.50-150 (23100 
192.168.10.150; AS TPHE HE) 


option subnet-mask 255.255.255.0; | 定义 客户 端 默 认 的 子 网 掩 码 


option routers 192.168.10.1; mE EE ENS 的 网 关 地 址 


option domain-name 


定义 默认 的 搜索 域 


"linuxprobe.com"; 


option domain-name-servers -- es 
定义 客户 端的 DNS 地 址 


192.168. 10.1; 


default-lease-time 21600; 定义 默认 租约 时 间 (单位 : fb 


max-lease-time 43200; 定义 最 大 预约 时 间 ] (单位 





在 红 帽 认证 考试 以 及 生产 环境 中 ， 痢 需要 把 配置 过 的 





dhcpd 服 务 加 入 到 开机 局 动 项 中 ， 以 确保 当 服 务 喜 下 次 开机 后 
dhcpd 服 务 依然 能 自动 司 动 ， 并 顺利 地 为 客户 端 分 配 卫 地 址 等 
信息 。 刘 中 老师 真心 建议 大 家 能 养 成 < 配置 好 服务 程序 ， 顺 手 
加 入 开机 局 动 项 * 的 好 习惯 : 





[root@linuxprobe ~]# systemctl start dhcpd 
[root@linuxprobe ~]# systemctl enable dhcpd 


In -s '/usr/lib/systemd/system/dhcpd.service' '/etc/sys 
temd/system/multi-user. 
target.wants/dhcpd.service' 











TU dhcpdJl 4 Fe Fr RO e E 25 27 Jat n] WAFER a 
IP 分 配 效果 了 。 重 局 客户 端的 网 卡 服 务 后 即 可 看 到 上 自动 分 配 到 
的 IP 地 址 ， 如 图 14-5 所 示 。 





root@linuxprobe:” - | 日 


File Edit View Search Terminal Help 


[root@Linuxprobe ~]# systemctl restart network 

[rootülinuxprobe ~]# ifconfig 

enol6777728: agsz4le3«UP,BROADCAST,RUNNING,MULTICAST» mtu 1500 
inet[192.168.10.50|] netmask 255.255.255.0 broadcast 192.168.10.255 
inet6 fe80::20c:29ff:fe27:c612 prefixlen 64 scopeid 0x20«link» 
ether 00:0c:29:27:c6:12 txqueuelen 1000 (Ethernet) 
RX packets 340 bytes 34349 (33.5 KiB) 
RX errors © dropped © overruns © frame 0 
TX packets 193 bytes 20504 (20.0 KiB) 
TX errors © dropped © overruns © carrier © collisions 0 


lo: flags=73<UP,LOOPBACK,RUNNING> mtu 65536 
inet 127.0.0.1 netmask 255.0.0.0 
inet6 ::1 prefixlen 128 scopeid 0x10<host> 
loop txqueuelen @ (Local Loopback) 
RX packets 92 bytes 9398 (9.1 KiB) 
RX errors © dropped © overruns © frame 0 
TX packets 92 bytes 9398 (9.1 KiB) 
TX errors © dropped 0 overruns © carrier O collisions 0 


图 14-5 ”客户 端 上 自动 获取 的 也 地 址 


如 果 有 兴趣 ， 大 家 还 可 以 再 开局 一 台 运 行 Windows 系 统 的 
客户 并 进行 尝试 ， 其 效果 部 十 一 样 的 。 








14.4 ”分配 国 定 IP 地 址 


在 DHCP 协 议 中 有 个 术语 十“ 预约"， 它 用 来 确保 局 域 网 中 
特定 的 设备 总 是 获取 到 固定 的 耳 地 址 。 换 句 话 说， 就 是 dhcpd 
服务 程序 会 把 某 个 IP 地 址 私 藏 下 来 ， 只 将 其 用 于 相 匹 配 的 特定 


设备 。 








要 想 把 某 个 耻 地 址 与 某 台 主机 进行 绑 定 ， 就 需要 用 到 这 人 台 
主机 的 MAC 地 址 。MAC 地 址 是 网 卡 上 面 的 一 串 独立 的 标识 
从 ， 上 有 具备 唯一 性 ， 因 此 不 会 存在 冲突 的 情况 ， 如 图 14-6 所 示 。 


: 
| root@linuxprobe:~ - | 日 


File Edit View Search Terminal Help 


\[root@Linuxprobe ~]# systemctl restart network 
i[rootalinuxprobe ~]# ifconfig 
leno16777728: flags=4163<UP,BROADCAST ,RUNNING,MULTICAST> mtu 1500 
inet 192.168.10.50 netmask 255.255.255.0 broadcast 192.168.10.255 
inet6 fe80::20c:29ff:fe27:c612 prefixlen 64 scopeid Ox20«link» 
ether|[00:0c:29:27:c6:12|] txqueuelen 1000 (Ethernet) 
RX packets 340 bytes 34349 (33.5 KiB) 
RX errors © dropped 0 overruns © frame 0 
TX packets 193 bytes 20504 (20.0 KiB) 
TX errors © dropped © overruns O carrier © collisions 0 






lo: flags=73<UP ,LOOPBACK,RUNNING> mtu 65536 
inet 127.0.0.1 netmask 255.0.0.0 
inet6 ::1 prefixlen 128 scopeid 0x10<host> 
loop txqueuelen @ (Local Loopback) 
RX packets 92 bytes 9398 (9.1 KiB) 
RX errors © dropped © overruns © frame 0 
TX packets 92 bytes 9398 (9.1 KiB) 
TX errors © dropped © overruns © carrier O collisions 0 


图 14-6 查看 运行 Linux 系 统 的 主机 MAC 地 址 





在 Linux 系 统 或 Windows 系 统 中 ， 都 可 以 通过 查看 网 卡 的 
状态 来 获知 主机 的 MAC 地 址 。 在 dhcpd 服 务 程 序 的 配置 文件 
中 ， 按 照 如 下 格式 将 IP 地 址 与 MAC 地 址 进行 绑 定 。 


EE fixed-address | 欲 指定 的 卫 地 址 ; || 


如 果 不 方便 查看 主机 的 MAC 地 址 ， 该 怎么 办 呢 ? 比如 ， 
要 给 老板 使 用 的 主机 绑 定 卫 地 址 ， 总 不 能 随便 就 去 查看 老板 的 
主机 信息 吧 。 针 对 这 种 情况 ， 刘 中 老师 告诉 大 家 一 个 很 好 的 办 
法 。 我 们 首先 启动 dhcpd 服 务 程序 ， 为 老板 的 主机 分 配 一 个 IP 
地 址 ， 这 样 就 会 在 DHCP 服 务 器 本 地 的 日 志文 件 中 保存 这 次 的 
IP 地 址 分 配 记录 。 然 后 查看 日 志文 件 ， 就 可 以 获悉 主机 的 
MAC 地 址 了 【〔 即 下 面 加 粗 的 内 容 〉。 














[root@linuxprobe ~]# tail -f /var/log/messages 
Mar 30 05:33:17 localhost dhcpd: Copyright 2004-2013 In 
ternet Systems Consortium. 


Mar 30 05:33:17 localhost dhcpd: All rights reserved. 

Mar 30 05:33:17 localhost dhcpd: For info, please visit 
https://www.isc.org/ 

software/dhcp/ 

Mar 30 05:33:17 localhost dhcpd: Not searching LDAP sin 

ce ldap-server, ldap- 

port and ldap-base-dn were not specified in the config 

file 

Mar 30 05:33:17 localhost dhcpd: Wrote 0 leases to leas 

es file. 

Mar 30 05:33:17 localhost dhcpd: Listening on LPF/eno16 

777728/00:0c:29:c4:a4: 

09/192.168.10.0/24 

Mar 30 05:33:17 localhost dhcpd: Sending on LPF/eno1677 

7728/00:0c:29:c4:a4:09/ 

192.168.10.0/24 

Mar 30 05:33:17 localhost dhcpd: Sending on Socket/fall 

back/fallback-net 

Mar 30 05:33:26 localhost dhcpd: DHCPDISCOVER from 00:0 

C:29:27:c6:12 via eno16777728 

Mar 30 05:33:27 localhost dhcpd: DHCPOFFER on 192.168.1 

0.50 to 00:0c:29:27:c6: 

12 (WIN-APSS1EANKLR) via eno16777728 

Mar 30 05:33:29 localhost dhcpd: DHCPDISCOVER from 00:0 

C:29:27:c6:12 (WIN- 

APSS1EANKLR) via eno16777728 

Mar 30 05:33:29 localhost dhcpd: DHCPOFFER on 192.168.1 

0.50 to 00:0c:29:27:c6: 

12 (WIN-APSS1EANKLR) via eno16777728 

Mar 30 05:33:29 localhost dhcpd: DHCPREQUEST for 192.16 

8.10.50 (192.168.10.10) 

from 00:0c:29:27:c6:12 (WIN-APSS1EANKLR) via eno1677772 

8 

Mar 30 05:33:29 localhost dhcpd: DHCPACK on 192.168.10. 

50 to 00:0c:29:27:c6:12 

(WIN-APSS1EANKLR) via eno16777728 











之 前 我 在 线 下 讲课 时 ， 讲 完 DHCP 服 务 后 总 是 看 到 有 些 学 

员 在 搁 涉 。 起 初 我 很 不 理解 ， ee S] 
中 一 个 很 简单 的 实验 ， 总 共 就 那么 十 几 行 的 配置 参数 还 能 
错 ? 后 来 发 现 了 原因 一 一 有 ven (aa ee 
的 也 与 MAC 地 址 的 绑 定 实验 。 而 在 Windows 系 统 中 看 到 的 
MAC 地 址 ， 其 格式 类 似 于 00-0c-29-27-c6-12， 间 隔 符 为 减 号 

-) 。 但 是 在 Linux 系 统 中 ，MAC 地 址 的 间隔 符 则 变 成 了 冒号 
(25.8 


[root@linuxprobe ~]# vim /etc/dhcp/dhcpd.conf 
ddns-update-style none; 

ignore client-updates; 

subnet 192.168.10.0 netmask 255.255.255.0 ( 
range 192.168.10.50 192.168.10.150; 

option subnet-mask 255.255.255.0; 

option routers 192.168.10.1; 

option domain-name "linuxprobe.com"; 
option domain-name-servers 192.168.10.1; 
default-lease-time 21600; 

max-lease-time 43200; 

host linuxprobe ( 

hardware ethernet 00:0c:29:27:c6:12; 
fixed-address 192.168.10.88; 
14 ) 
15 } 


1 
2 
3 
4 
5 
6 
7 
8 








确认 参数 填写 正确 后 就 可 以 保存 退出 配置 文件 ， 然 后 就 可 
以 重启 dhcpd 服 务 程序 了 。 





[root@linuxprobe ~]# systemctl restart dhcpd 


需要 说 明 的 是 ， 如 果 您 刚刚 为 这 台 主 机 分 配 了 IP 地 址 ， 则 
它 的 IP 地 址 租约 时 间 还 没有 到 期 ， 因 此 不 会 立即 换 成 新 绑 定 的 
IP 地 址 。 要 想 立 即 碍 看 绑 定 效果 ， 则 需要 重启 一 下 客户 端的 网 
络 服务 ， 如 图 14-7 所 示 。 


root@linuxprobe:~/Desktop - | 口 


File Edit View Search Terminal Help 

[root @Linuxprobe Desktop]# systemctl restart network 

|[root@Linuxprobe Desktop]# ifconfig 

leno16777728: flags=4163<UP,BROADCAST ,RUNNING,MULTICAST> mtu 1500 

| inet [22-158 16.88] netmask 255.255.255.0 broadcast 192.168.10.255 
inet6 fe80::20c:29ff:fe27:c612 prefixlen 64 scopeid 0x20<Link> 
ether 00:0c:29:27:c6:12 txqueuelen 1000 (Ethernet) 
RX packets 170 bytes 20554 (20.0 KiB) 
RX errors © dropped © overruns © frame O 
TX packets 277 bytes 33114 (32.3 KiB) 
TX errors © dropped © overruns © carrier © collisions 0 


lo: flags=73<UP,LOOPBACK,RUNNING> mtu 65536 
inet 127.0.0.1 netmask 255.0.0.0 
inet6 ::1 prefixlen 128 scopeid OxlO0«host» 
loop txqueuelen O (Local Loopback) 
RX packets 160 bytes 14452 (14.1 KiB) 
RX errors © dropped © overruns © frame O 
TX packets 160 bytes 14452 (14.1 KiB) 
TX errors © dropped © overruns © carrier © collisions 0 


图 14-7 He Pm ARRAS. BATE BOR 


复习 题 


1. 简 述 DHCP 协 议 的 主要 用 途 。 





答 : 为 局 域 网 内 部 的 设备 或 网 络 供应 商 目 动 分 配 耳 地 址 等 
参数 。 


2.DHCP 协 议 能 够 为 客户 端 分 配 什么 网 卡 资源 ? 





答 : 可 为 客户 端 分 配 IP 地 址 、 子 网 掩 码 、 网 关 地 址 以 及 
DNS 地 址 等 信息 。 








3. 真正 供用 户 使 用 的 IP 地 址 范围 是 作用 域 还 是 地 址 池 ? 


TS 
rie 


地 址 池 ， 因 为 作用 域内 还 会 包含 要 排除 掉 的 IP 地 址 。 


4. 简 述 DHCP 协 议 中 “租约 ”的 作用 。 





A. 租约 分 为 默认 租约 时 间 和 最 大 租约 时 间 ， 用 于 在 租约 
时 间 到 期 后 自动 回收 主机 的 IP 地 址 ， 以 免 造 成 IP 地 址 的 浪费 。 


5. 把 了 地 址 与 主机 的 什么 信息 绑 定 ， 束 可 以 保证 该 主机 
一 百 获取 到 固定 的 卫 地 址 ? 


A 


A 主机 网 卡 的 MAC 地 址 。 


第 15 章 ”使 用 Postifx 与 Dovecot 部 署 邮 件 系统 






电子 邮件 系统 ; 


部 署 基础 的 电子 邮件 系统 ; 


设置 用 户 别 名 信箱 。 





电子 邮件 系统 是 我 们 在 日 常 工 作 、 生 活 中 最 常用 的 一 个 网 
络 服务 ， 本 章 将 首先 介绍 电子 邮件 系统 的 起 源 ， 然 后 介绍 
SMTP、POP3、IMAP4 等 单 见 的 电子 邮件 协议 ， 以 及 MUA、 
MTA、MDA 这 三 种 服务 角色 的 作用 。 本 章 将 完整 地 演示 在 
Linux 系 统 中 使 用 Postfix 和 Dovecot 服 务 程序 配置 电子 邮件 系统 
服务 的 方法 ， 并 重点 讲解 常用 的 配置 参数 ， 此 外 还 将 结合 











BIND 服 务 程序 提供 的 DNS 域 名 解析 服务 来 验证 客户 端 主机 与 
服务 器 之 间 的 邮件 收发 功能 。 本 章 最 后 还 介绍 了 如 何在 电子 邮 
件 系 统 中 设置 用 户 别 名 ， 以 帮助 大 家 在 生产 环境 中 更 好 地 控 
制 、 管 理 电子 邮件 账户 以 及 信箱 地 址 。 








15.1 电子 邮件 系统 


20 世 纪 60 年 代 ， 美 苏 两 国正 处 于 冷战 时 期 。 美 国 军 方 认 为 
应 该 在 科学 技术 上 保持 其 领先 的 地 位 ， 这 样 有 助 于 在 未 来 的 战 
和 争 中 取得 优势 。 美 国 国 防 部 由 此 发 起 了 一 项 名 为 ARPANET 的 
科研 项 目 ， 即 大 家 现在 所 熟知 的 阿 由 网 计划 。 阿 由 网 是 当今 互 
联网 的 雏形 ， 它 也 是 世界 上 第 一 个 运营 的 封包 交换 网 络 。 但 是 
很 快 在 1971 年 阿 由 网 遇 到 了 严峻 的 问题 ， 如 图 15-1 所 示 ， 参 与 
阿 幅 网 科研 项 目的 科学 家 分 布 在 美国 不 同 的 地 区 ， 其 至 还 会 因 
为 时 差 的 影响 而 不 能 及 时 分 侍 各 目的 研究 成 末 ， 因 此 科学 家 们 
迫切 需要 一 种 能 够 借助 于 网 络 在 计算 机 之 间 传 输 数 据 的 方法 。 


























尽管 本 书 第 10 瘟 和 第 11 章 介绍 的 web 服务 和 FTP 文 件 传输 
服务 也 能 实现 数据 交换 ， 但 是 这 些 服务 的 数据 传输 方式 就 
像 “ 打 电话 ”那样 ， 需 要 双方 同时 在 线 才 能 完成 传输 工作 。 如 果 
对 方 的 主机 宕 机 或 者 科研 人 员 因 故 离开 ， 束 有 可 能 错过 某 些 科 
研 成 果 了 。 好 在 当时 麻 省 理工 学 院 的 Ray Tomlinson 博 士 也 参 
与 到 了 阿 帕 网 计划 的 科研 项 目 中 ， 他 觉得 有 必要 设计 一 种 类 似 
于 “信件 ”的 传输 服务 ， 并 为 信件 准备 一 个 “信箱 ”， 这 样 即 便 对 
方 临时 离线 也 能 完成 数据 的 接收 ， 等 上 线 后 再 进行 处 理 即 可 。 
于 是 ，Ray Tomlinson 博 士 用 了 近 一 年 的 时 间 完 成 了 电子 邮件 
(Email) 的 设计 ， 并 在 1971 年 秋天 使 用 SNDMSG 软 件 向 上 自己 








的 男 一 台 计 算 机 发 送出 了 人 类 历史 上 第 一 封 电子 邮件 一 一 电子 
邮件 系统 在 互联 网 中 由 此 诞生 ! 





图 15-1 1971ER EL SHUTEJSLH 3 2E T6503 SE ECRLES Fr 








既然 要 在 互联 网 中 给 他 人 发 送 电 子 邮 件 ， 那 么 对 方 用 户 用 
于 接收 电子 邮件 的 名 称 必 须 是 唯一 的 ， 人 否则 电子 邮件 可 能 会 同 
时 发 给 多 个 重 名 的 用 户 ， 也 或 者 干脆 大 家 都 收 不 到 邮件 了 。 因 
此 ，Ray Tomlinson 博 士 决 定 选择 使 用 “姓名 @ 计 算 机 主机 名 
称 ” 的 格式 来 规范 电子 信箱 的 名 称 。 选 择 使 用 @ 符 号 作为 间隔 
符 的 原因 其 实 也 很 简单 ， 因 为 Ray Tomlinson 博 士 觉 得 人 类 的 
名 字 和 计算 机 主机 名 称 中 应 该 不 会 有 这 么 一 个 @ 符 号， 所 以 就 
选择 了 这 个 符号 。 








电子 邮件 系统 基于 邮件 协议 来 完成 电子 邮件 的 传输 ， 第 见 
的 邮件 协议 有 下 面 这 些 。 


e 人 简单 邮件 传输 协议 (Simple Mail Transfer Protocol, 
SMTP) : 用 于 发 送 和 中 转发 出 的 电子 邮件 ， 王 用 服务 需 
的 25/TCP 端 口 。 

。 邮 局 协议 版 本 3 (Post Office Protocol3) : 用 于 将 电子 邮 
件 存储 到 本 地 主机 ， 占 用 服务 露 的 1100TCP 端 口 。 

e Internet 消 息 访 问 协 议 版 本 4 (Internet Message Access 
Protocol 4) : 用 于 在 本 地 主机 上 访问 邮件 ， 占 用 服务 器 的 
143/TCP 端 口 。 


在 电子 邮件 系统 中 ， 为 用 户 收 发 邮件 的 服务 器 名 为 邮件 用 
户 代 理 (Mail User Agent, MUA) 。 另 外 ， 既 然 电 子 邮 件 系 统 
能 够 让 用 户 在 离线 的 情况 下 依然 可 以 完成 数据 的 接收 ， 肯 定 得 
有 一 个 用 于 保存 用 户 邮 件 的 “信箱 ”服务 器 ， 这 个 服务 器 的 名 字 
为 邮件 投递 代理 (Mail Delivery Agent, MDA) ， 其 工作 职员 
是 把 来 自 于 邮件 传输 代理 (Mail Transfer Agent, MTA) 的 邮 
件 保存 到 本 地 的 收 件 箱 中 。 其 中 ， 这 个 MTA 的 工作 职责 是 转 
发 处 理 不 同 电子 邮件 服务 供应 商 之 间 的 邮件 ， 把 来 自 于 MUA 
的 邮件 转发 到 合适 的 MTA 服 务 器 。 例 如 ， 我 们 从 新 浪 信 箱 问 
谷歌 信箱 发 送 一 封 电子 邮 件 ， 这 封 电 子 邮 件 的 传输 过 程 如 图 
15-2 所 示 。 
































忆 的 来 说 ， 一 般 的 网 络 服务 程序 在 传输 信息 时 束 像 拨打 电 
话 ， 需 要 双方 同时 保持 在 线 ， 而 在 电子 邮件 系统 中 ， 当 用 户 发 


送 邮 件 后 不 必 等 待 投 递 工作 完成 即 可 下 线 。 如 果 对 方 邮件 服务 
器 (MTA) 宕 机 或 对 方 临时 离线 ， 则 发 件 服 务 器 (MTA) W 
会 把 要 发 送 的 内 容 自动 的 暂时 保存 到 本 地 ， 等 检测 到 对 方 邮件 
服务 器 恢复 后 会 立即 再 次 投递 ， 期 间 一 般 无 需 运 维 人 员 维 护 处 
理 ， 随 后 收 信人 (MUA) 就 能 在 自己 的 信箱 中 找到 这 封 邮 件 














SMTP POP3 或 IMAP4 | 
MUA MTA MTA MUA 
发 信人 新 浪 电子 邮局 谷歌 电子 邮局 收 信人 


图 15-2 ”电子 邮件 的 传输 过 程 








大 家 在 生产 环境 中 部 署 企业 级 的 电子 邮件 系统 时 ， 有 4 个 
注意 事项 请 留意 。 





e. 添加 反 垃 圾 与 反 病 毒 模块 : 它 能 够 很 有 效 地 阻止 垃圾 邮件 
或 病毒 邮件 对 企业 信箱 的 干扰 。 

。 对 邮件 加 密 : 可 有 效 保 护 邮 件 内 容 不 被 黑客 盗 取 和 算 改 。 

。 添 加 邮件 监控 审核 模块 : 可 有 效 地 监控 企业 全 体 员 工 的 邮 
件 中 是 否 有 敏感 词 、 是 否 有 透露 企业 资料 等 违规 行为 。 

e 保障 稳定 性 : 电子 邮件 系统 的 稳定 性 至 关 重 要 ， 运 维 人 员 
应 做 到 保证 电子 邮件 系统 的 稳定 运行 ， 并 及 时 做 好 防范 分 
布 式 拒绝 服务 (Distributed Denial of Service, DDoS) 攻击 











的 准备 。 


15.2 部署 基础 的 电子 邮件 系统 





一 个 最 基础 的 电子 邮件 系统 肯定 要 能 提供 发 件 服 务 和 收 件 
服务 ， 为 此 需要 使 用 基于 SMTP 协 议 的 Postfix 服 务 程序 提供 发 
件 服务 功能 ， 并 使 用 基于 POP3 协 议 的 Dovecot 服 务 程 序 提供 收 
件 服务 功能 。 这 样 一 来 ， 用 户 束 可 以 使 用 Outlook Expresssk 
Foxmail 等 客户 问 服 务 程序 正 弟 收发 邮件 了 。 电 子 邮件 系统 的 
工作 流程 如 图 15-3 所 示 。 

























发 往 本 域 的 邮件 发 往外 域 的 邮件 


Nan 存储 本 域 邮件 ae, 
POSTFIX —— 


收 信 认 证 收取 邮件 






DOVECOT Eid PAM EGG 
pul Y 
收 信 认 证 
图 15-3 ”电子 邮件 系统 的 工作 流程 


在 RHEL 5、RHEL 6 以 及 诸多 早期 的 Linux 系 统 中 ， 默 认 使 
用 的 发 件 服 务 是 由 Sendmail 服 务 程序 提供 的 ， 而 在 RHEL 7% 
统 中 已 经 蔡 换 为 Postfix 服 务 程序 。 相 较 于 Sendmail 服 务 程序 ， 
Postfix 服 务 程序 减少 了 很 多 不 必要 的 配置 步 又， 而 且 在 稳定 
性 、 并 发 性 方面 也 有 很 大 改进 。 














一 般 而 言 ， 我 们 的 信箱 地 址 类 似 
于 “root@linuxprobe.com” 这 样 ， 也 就 是 按照 “用户 名 @ 主 机 地 址 
(域名 ) ”格式 来 规范 的 。 如 果 您 给 我 一 
串 “root@192.168.10.10” 的 信息 ， 我 可 能 猜 不 到 这 是 一 个 信箱 
地 址 ， 没 准 会 将 它 当 作 SSH 协 议 的 连接 信息 。 因 此 ， 要 想 更 好 
地 检验 电子 邮件 系统 的 配置 效果 ， 需 要 先 部 署 bind 服 务 程序 ， 
为 电子 邮件 服务 器 和 客户 端 提 供 DNS 域 名 解析 服务 。 














第 1 步 : 配置 服务 器 主机 名 称 ， 需 要 保证 服务 品 主 机 名 称 
与 发 信 域 名 保持 一 致 ， 








[root@linuxprobe ~]# vim /etc/hostname 
mail. 1linuxprobe.com 


[root@linuxprobe ~]# hostname 
mail.linuxprobe.com 





第 2 步 : 清空 iptables 防 火 墙 默认 策略 ， 并 保存 策略 状态 ， 
避免 因 防 火 墙 中 默认 存在 的 策略 阻止 了 客户 端 DNS 解 析 域 名 及 
收发 邮件 : 


[root@localhost ~]# iptables -F 
[root@localhost ~]# service iptables save 


iptables: Saving firewall rules to /etc/sysconfig/iptab 
les:[ OK ] 








第 3 步 : 为 电子 邮件 系统 提供 域名 解析 。 由 于 第 13 章 已 经 
讲解 了 bind-chroot 服 务 程序 的 配置 方法 ， 因 此 这 里 只 提供 主 配 
置 文件 、 区 域 配置 文件 和 域名 数据 文件 的 配置 内 容 ， 其 余 配置 
步骤 请 大 家 目 行 完成 。 











[ root@linux 
probe ~]# cat /etc/named. conf 
1 // 
2 // named.conf 
3 // 
4 // Provided by Red Hat bind package to configure the 


ISC BIND named(8) DNS 

5 // server as a caching only nameserver (as a localho 
st DNS resolver only). 

6 // 

7 // See /usr/share/doc/bind*/sample/ for example name 
d configuration files. 


8 // 

9 

16 options { 

11 listen-on port 53 { any; }; 

12 listen-on-v6 port 53 { ::1; }; 

13 directory "/var/named" ; 

14 dump-file "/var/named/data/cache dump.db"; 

15 statistics-file "/var/named/data/named stats.txt"; 
16 memstatistics-file "/var/named/data/named mem stats 


txt"; 
17 allow-query { any; }; 


18 


eeeeeee 


gees 省 略 部 分 输出 信息 


[root@linuxprobe ~]# cat /etc/named.rfc1912.zones 
zone "linuxprobe.com" IN { 

type master; 

file "linuxprobe.com.zone"; 

allow-update {none;}; 


ys 


[rootglinuxprobe ~]# cat /var/named/linuxprobe.com.zone 





@ linuxprobe.com. root.linuxprobe.com. | ( 


1D;refresh 


mn BEN 


[rootglinuxprobe ~]# systemctl restart named 
[root@linuxprobe ~]# systemctl enable named 





In -s '/usr/lib/systemd/system/named.service' 
'/etc/systemd/system/multi-user.target.wants/named.serv 
ice 








修改 好 配置 文件 后 记得 重启 bind 服 务 程序 ， 这 样 电子 邮件 
系统 所 对 应 的 服务 器 主机 名 即 为 mail.linuxprobe.com， 而 邮件 
域 为 @linuxprobe.com。 把 服务 器 的 DNS 地 址 修改 成 本 地 IP 地 
址 ， 如 图 15-4 所 示 。 


root@localhost:~/Desktop lees Hx 
File Edit View Search Terminal Help 
Edit connection 


Profile name [ge 


= ETHERNET «Show» 


IPv4 CONFIGURATION «Manual» «Hide» 
Addresses ES OR <Remove> 


Gateway EE 


DNS servers <Remove> 


< a 
Search domains <Add...> 


Routing (No custom routes) <Edit...> 
[ ] Never use this network for default route 


[X] Require IPv4 addressing for this connection 





图 15-4 配置 服务 器 的 DNS 地 址 


15.2.1 配置 Postfix 服 务 程序 


Postfix 是 一 蒜 由 IBM 资 助 研发 的 免费 开源 电子 邮件 服务 程 
序 ， 能 够 很 好 地 兼容 Sendmail 服 务 程 序 ， 可 以 方便 Sendmail 用 
户 迁 移 到 Postfix 服 务 上 。Postfix 服 务 程序 的 邮件 收发 能 力 强 于 
Sendmail 服 务 ， 而 且 能 上 自动 增加 、 减 少 进程 的 数量 来 保证 电子 
邮件 系统 的 高 性 能 与 稳定 性 。 另 外 ，Postfix 服 务 程 序 由 许多 小 
模块 组 成 ， 每 个 小 模块 都 可 以 完成 特定 的 功能 ， 因 此 可 在 生产 
工作 环境 中 根据 需求 灵活 搭配 它们 。 




















第 1 步 : 安装 Postfix 服 务 程 序 。 这 一 步 在 RHEL7 系 统 中 是 
多 余 的 。 刘 递 老师 之 所 以 还 要 写 上 这 一 步 台 ， 其 目的 是 让 大 家 
在 学 完 本 书 之 后 不 但 能 掌握 RHEL 系 统 ， 还 能 立 妈 上手 
Fedora、CentOS 等 主流 Linux 系 统 。 这 样 ， 既 然 这 些 系统 没有 
默认 安装 Postfix 服 务 程序 ， 我 们 也 可 以 自行 搞定 。 在 安装 完 
Postfix 服 务 程 序 后 ， 需 要 禁用 iptables 防 火 墙 ， 否 则 外 部 用 户 无 
法 访问 电子 邮件 系统 。 











[root@linuxprobe ~]# yum install postfix 

Loaded plugins: langpacks, product-id, subscription-man 
ager 

rhel7 | 4.1 kB 00:00 

(1/2): rhel7/group gz | 134 kB 00:00 


(2/2): rhel7/primary db | 3.4 MB 00:00 

Package 2:postfix-2.10.1-6.e17.x86 64 already installed 
and latest version 

Nothing to do 

[root@linuxprobe ~]# systemctl disable iptables 








第 2 步 : 配置 Postfix 服 务 程序 。 大 家 如 果 是 首次 看 到 
Postfix 服 务 程 序 主 配置 文件 (/etc/ postfix/main.cf) ， 估 计 会 被 
679 行 左右 的 内 容 给 吓 到 。 其 实 不 用 担心 ， 这 里 面 绝 大 多 数 的 
内 容 依然 是 注释 信息 。 刘 遂 老师 在 本 书 中 一 直 强 调 正 确 学 习 
Linux 系 统 的 方法 ， 并 坚信 “负责 任 的 好 老师 不 应 该 是 书本 的 搬 
运 工 ， 而 应 该 一 名 优质 内 容 的 提炼 者 ”， 因 此 在 翻 表 了 配置 参 
数 的 介绍 ， 以 及 结合 多 年 的 运 维 经 验 后 ， 最 终 总 结 出 了 7 个 最 
应 该 掌握 的 参数 ， 如 表 15-1 所 示 。 





























表 15-1 了 Postfix 服 务 程序 主 配置 文件 中 的 重要 参数 





参数 作用 


“ue m 


scp anton e 
可 接收 邮件 的 主机 名 或 域名 





mynetworks 设置 可 转发 哪些 主机 的 邮件 


relay_domains 设置 可 转发 哪些 网 域 的 邮件 














在 Postfix 服 务 程 序 的 主 配置 文件 中 ， 总 计 需 要 修改 5 处 。 
首先 是 在 第 76 行 定义 一 个 名 为 myhostname 的 变量 ， 用 来 保存 服 
务 器 的 主机 名 称 。 请 大 家 记 住 这 个 变量 的 名 称 ， 下 边 的 参数 需 
要 调用 它 : 











[root@linuxprobe ~] # vim /etc/postfix/main. cf 
省 略 部 分 输出 信 sss 
68 # INTERNET HOST AND DOMAIN NAMES 
69 # 
70 # The myhostname parameter specifies the internet ho 
stname of this 
71 # mail system. The default is to use the fully-quali 


fied domain name 

72 # from gethostname(). $myhostname is used as a defau 
lt value for many 

73 # other configuration parameters. 

74 # 


75 #myhostname = host.domain.tld 
76 myhostname = mail.linuxprobe.com 
省 略 部 分 输出 信息 .……… 








然后 在 第 83 行 定义 一 个 名 为 mydomain 的 变量 ， 用 来 保存 
邮件 域 的 名 称 。 大 家 也 要 记 住 这 个 变量 名 称 ， 下 面 将 调用 它 : 


78 # The mydomain parameter specifies the local interne 
t domain name. 

79 # The default is to use $myhostname minus the first 
component. 


80 # $mydomain is used as a default value for many othe 
r configuration 

81 # parameters. 

82 # 

83 mydomain - linuxprobe.com 











在 第 99 行 调用 前 面 的 mydomain 变 量 ， 用 来 定义 发 出 邮件 
的 域 。 调 用 变量 的 好 处 是 避免 重复 写 入 信息 ， 以 及 便于 日 后 统 
一 修改 : 














85 # SENDING MAIL 


86 # 

87 # The myorigin parameter specifies the domain that 1 
ocally-posted 

88 # mail appears to come from. The default is to appen 
d $myhostname, 

89 # which is fine for small sites. If you run a domain 
with multiple 

90 # machines, you should (1) change this to $mydomain 

and (2) set up 

91 # a domain-wide alias database that aliases each use 
r to 

92 # user@that.users.mailhost. 

93 # 

94 # For the sake of consistency between sender and rec 
ipient addresses, 

95 # myorigin also specifies the default domain name th 
at is appended 

96 # to recipient addresses that have no @domain part. 


97 t 
98 #myorigin = $myhostname 
99 myorigin = $mydomain 





第 4 处 修改 是 在 第 116 行 定义 网 卡 监 听 地 址 。 可 以 指定 要 使 
用 服务 器 的 哪些 耳 地 址 对 外 提供 电子 邮件 服务 ， 也 可 以 干脆 与 
成 all， 代 表 所 有 IP 地 址 都 能 提供 电子 邮件 服务 : 





103 # The inet_interfaces parameter specifies the netwo 
rk interface 

104 # addresses that this mail system receives mail on. 
By default, 

105 # the software claims all active interfaces on the 

machine. The 

106 # parameter also controls delivery of mail to user@ 
[ip.address]. 

107 # 

108 # See also the proxy_interfaces parameter, for netw 

ork addresses that 

109 # are forwarded to us via a proxy or network addres 
s translator. 

110 # 

111 # Note: you need to stop/start Postfix when this pa 
rameter changes. 

112 # 

113 #inet_interfaces = all 

114 #inet_interfaces = $myhostname 

115 #inet_interfaces = $myhostname, localhost 

116 inet_interfaces = all 





最 后 一 处 修改 是 在 第 164 行 定义 可 接收 邮件 的 主机 名 或 域 


名 列表 。 这 里 可 以 直接 调用 前 面 定 义 好 的 myhostname 和 
mydomain 变 量 〈 如 果 不 想 调用 变量 ， 也 可 以 直接 调用 变量 中 
的 值 ) : 














133 # The mydestination parameter specifies the list of 
domains that this 
134 # machine considers itself the final destination fo 


ps 

135 # 

136 4 These domains are routed to the delivery agent sp 

ecified with the 

137 # local transport parameter setting. By default, th 

at is the UNIX 

138 4 compatible delivery agent that lookups all recipi 

ents in /etc/passwd 

139 # and /etc/aliases or their equivalent. 

140 # 

141 4 The default is $myhostname + localhost.$mydomain. 
On a mail domain 

142 # gateway, you should also include $mydomain. 

143 # 

144 # Do not specify the names of virtual domains - tho 

se domains are 

145 # specified elsewhere (see VIRTUAL README). 

146 # 

147 # Do not specify the names of domains that this mac 

hine is backup MX 

148 # host for. Specify those names via the relay domai 

ns settings for 

149 # the SMTP server, or use permit mx backup if you a 

re lazy (see 

150 it STANDARD CONFIGURATION README). 

151 # 


152 # The local machine is always the final destination 
for mail addressed 

153 # to user@[the.net.work.address] of an interface th 

at the mail system 

154 # receives mail on (see the inet_interfaces paramet 

er). 

155 # 

156 # Specify a list of host or domain names, /file/nam 

e or type:table 

157 # patterns, separated by commas and/or whitespace. 

A /file/name 

158 # pattern is replaced by its contents; a type:table 
is matched when 

159 # a name matches a lookup key (the right-hand side 

is ignored). 

160 # Continue long lines by starting the next line wit 

h whitespace. 

161 # 

162 # See also below, section "REJECTING MAIL FOR UNKNO 

WN LOCAL USERS". 


163 # 

164 mydestination = $myhostname , $mydomain 

165 #mydestination = $myhostname, localhost.$mydomain, 
localhost, $mydomain 

166 #mydestination = $myhostname, localhost.$mydomain, 
localhost, $mydomain, 





第 3 步 : 创建 电子 邮件 系统 的 登录 账户 。Postfix 与 vsftpd 服 
务 程 序 一 样 ， 都 可 以 调用 本 地 系统 的 账户 和 密码 ， 因 此 在 本 地 
系统 创建 音 规 账户 即 可 。 最 后 重启 配置 妥当 的 postfix 服 务 程 
序 ， 并 将 其 添加 到 开机 启动 项 中 。 大 功 告 成 ! 











[root@linuxprobe ~] # useradd boss 
[root@linuxprobe ~] # echo "linuxprobe" | passwd --stdi 


n boss 
Changing password for user boss. passwd: all authentica 


tion tokens updated 


successfully. 

[root@linuxprobe ~] # systemctl restart postfix 
[root@linuxprobe ~] # systemctl enable postfix 

In -s '/usr/lib/systemd/system/postfix.service' '/etc/s 
ystemd/system/multi-user. 

target.wants/postfix.service' 





15.2.2 ”配置 Dovecot 服 务 程序 


Dovecot 是 一 蒜 能 够 为 Linux 系 统 提供 IMAP 和 POP3 电 子 邮 
件 服务 的 开源 服务 程序 ， 安 全 性 极 高 ， 配 置 简单 ， 执 行 速度 
快 ， 而 且 占 用 的 服务 器 硬件 资源 也 较 少 ， 因 此 是 一 蒜 值 得 推荐 
的 收 件 服务 程序 。 

















第 1 步 : 安装 Dovecot 服 务 程序 软件 包 。 大 家 可 自行 配置 
Yum 软 件 仓库 、 挂 载 光 盘 镜 像 到 指定 目录 ， 人 然后 输入 要 安装 的 
dovecot 软 件 包 名 称 即 可 : 





[root@linuxprobe ~]# yum install dovecot 
Loaded plugins: langpacks, product-id, subscription-man 
ager 
esse 省 略 部 分 输出 信 sss 
Installing: 
dovecot x86 64 1:2.2.10-4.e17 rhel 3.2 M 
Installing for dependencies: 


clucene-core x86 64 2.3.3.4-11.e17 rhel 528 k 
Transaction Summary 


Install 1 Package (+1 Dependent package) 
Total download size: 3.7 M 

Installed size: 12 M 

Is this ok [y/d/N]: y 

Downloading packages: 


Total 44 MB/s | 3.7 MB 00:00 
Running transaction check 
Running transaction test 
Transaction test succeeded 
Running transaction 
Installing : clucene-core-2.3.3.4-11.e17.x86 64 1/2 
Installing : 1:dovecot-2.2.10-4.e17.x86 64 2/2 
Verifying : 1:dovecot-2.2.10-4.e17.x86 64 1/2 
Verifying : clucene-core-2.3.3.4-11.e17.x86 64 2/2 
Installed: 


dovecot.x86 64 1:2.2.10-4.e17 
Dependency Installed: 

clucene-core.x86 64 0:2.3.3.4-11.e17 
Complete! 








第 2 步 : 配置 部 团 Dovecot 服 务 程序 。 在 Dovecot 服 务 程序 
的 主 配置 文件 中 进行 如 下 修改 。 首 先是 第 24 行 ， 把 Dovecot 服 
务 程序 支持 的 电子 邮件 协议 修改 为 iImap、pop3 和 ]mtp。 然 后 在 
这 一 行 下 面 添 加 一 行 参 数 ， 允 许 用 户 使 用 明文 进行 密码 验证 。 
之 所 以 这 样 操 作 ， 是 因为 Dovecot 服 务 程 序 为 了 保证 电子 邮件 
系统 的 安全 而 默认 强制 用 户 使 用 加 密 方 式 进行 登录 ， 而 由 于 当 














WERAMERA, KE TS RISO ADR IC VE FH 7 105] WSS 


[root@linuxprobe ~] # vim /etc/dovecot/dovecot. conf 
省 略 部 分 输出 信 sss 


23 # Protocols we want to be serving. 


24 protocols = imap pop3 lmtp 
25 disable plaintext auth = no 
省 略 部 分 输出 信息 





在 主 配置 文件 中 的 第 48 行 ， 设 置 允 许 登录 的 网 段 地 址 ， 也 
就 是 次 我 们 可 以 在 这 里 限制 只 有 来 目 于 茶 个 网 段 的 用 户 才 能 使 
用 电子 邮件 系统 。 如 宁 想 允许 所 有 人 都 能 使 用 ， 则 不 用 修改 本 
参数 : 














44 # Space separated list of trusted network ranges. Co 
nnections from these 

45 # IPs are allowed to override their IP addresses and 
ports (for logging and 


46 # for authentication checks). disable plaintext auth 
is also ignored for 

47 # these networks. Typically you'd specify your IMAP 

proxy servers here. 

48 login trusted networks - 192.168.10.0/24 





第 3 步 : 配置 邮件 格式 与 存储 路 径 。 在 Dovecot 服 务 程序 单 
独 的 子 配置 文件 中 ， 定 义 一 个 路 径 ， 用 于 指定 要 将 收 到 的 邮件 
存放 到 服务 器 本 地 的 哪个 位 置 。 这 个 路 径 默认 已 经 定义 好 了 ， 





我 们 只 需要 将 该 配置 文件 中 第 24 行 前 面 的 井 号 〈#) 删除 即 
可 。 





[root@linuxprobe ~] # vim /etc/dovecot/conf.d/10-mail.c 
onf 


1 ## 

2 ## Mailbox locations and namespaces 

3 #H 

4 # Location for users' mailboxes. The default is empty 


; which means that Dovecot 

5 # tries to find the mailboxes automatically. This won 
't work if the user 

6 # doesn't yet have any mail, so you should explicitly 
tell Dovecot the full 

7 # location. 

8 # 

9 # If you're using mbox, giving a path to the INBOX fi 
le (eg. /var/mail/%u) 

10 # isn't enough. You'll also need to tell Dovecot whe 
re the other mailboxes are 

11 # kept. This is called the "root mail directory", an 
d it must be the first 

12 # path given in the mail location setting. 

13 # 

14 # There are a few special variables you can use, eg. 


16 # %u - username 

17 # %n - user part in user@domain, same as Xu if there 
S no domain 

18 # %d - domain part in user@domain, empty if there's 
no domain 

19 # ^h - home directory 

20 # 


21 # See doc/wiki/Variables.txt for full list. Some exa 
mples: 
22 # 


23 # mail location = maildir:~/Maildir 


24 mail location = mbox:~/mail: INBOX=/var/mail/%u 
25 # mail location = 

r/indexes/%d/%1n/%n 

— 省 略 部 分 输出 信息 .……… 


mbox:/var/mail/%d/%1n/%n:INDEX=/va 





然后 切换 到 配置 Postfix 服 务 程 序 时 创建 的 boss 账 户 ， 并 在 
家 目录 中 建立 用 于 保存 邮件 的 目录 。 记 得 要 重启 Dovecot 服 务 
并 将 其 添加 到 开机 启动 项 中 。 至 此 ， 对 Dovecot 服 务 程序 的 配 
置 部 署 步骤 全 部 结束 。 





[root@linuxprobe ~] # su - boss 

Last login: Sat Aug 15 16:15:58 CST 2017 on pts/1 
[boss@mail ~]$ mkdir -p mail/.imap/INBOX 
[boss@mail ~]$ exit 


[root@linuxprobe ~] # systemctl restart dovecot 
[root@linuxprobe ~] # systemctl enable dovecot 

In -s '/usr/lib/systemd/system/dovecot.service' '/etc/s 
ystemd/system/multi-user. 

target.wants/dovecot.service' 





15.2.3 测试 电子 邮件 系统 


如 何 得 知 电子 邮件 系统 已 经 能 够 正常 收发 邮件 了 呢 ? 可 以 
使 用 Windows 操 作 系 统 中 上 自 带 的 Outlook 软 件 来 进行 测试 〈 也 可 
以 使 用 其 他 电子 邮件 客户 端 来 测试 ， 比 如 Foxmail) 。 请 按照 





表 15-2 来 设置 电子 邮件 系统 及 DNS 服务 器 和 客户 端 主机 的 卫 地 
以 便 能 正常 解析 邮件 域名 。 设 置 后 的 结果 如 图 15-5 所 示 。 





表 15-2 服务 器 与 客户 疾 的 操作 系统 与 IP 地 址 


snan "" 


电子 邮件 系统 及 DNS 服务 器 RHEL 7 192.168.10.10 








[ Internet 协议 版 本 4 (TCP/IPv4) Ett 9 
LE | 

e m gu gy zs 设置 。 否 刚 ， 

cURL = 


© 自动 获得 IP 地 址 @) 
© 使 用 下 面 的 IP 地 址 GS): 


IP Hit 0): 192 .168 . 10 . 30 
子 网 撞 码 U): 255 .255 .255 . 0 
默认 了 网关 0): 


自动 获得 DNS 服务 器 地 址 Œ) 
© 使 用 下 面 的 DNS BR esi E): 
首选 DNS 服务 器 P): 192 .168 . 10 . 10 


备用 DNS 服务 器 心 ) : 


加 | 退出 时 验证 设置 总 ) S)... 

















确定 取消 





图 15-5 ”配置 Windows 7 系统 的 网 络 参数 


第 1 步 : 在 Windows 7 系统 中 运行 Outlook 软 件 程序 。 由 于 
各 位 读者 使 用 的 Windows7 系 统 版 本 不 一 定 相 同 ， 因 此 刘 站 老 
师 决 定 采 用 Outlook 2007 版 本 为 对 象 进行 实验 。 如 果 您 想 要 与 
这 里 的 实验 环境 尽量 保持 一 致 ， 可 在 本 书 配套 站 点 的 软件 资源 
库 页 面 (http:/www. linuxprobe.com/ tools) 下 载 并 安装 。 在 初 
次 运行 该 软件 时 会 出 现 一 个 “Outlook 2007 启 动 * 页 面 ， 引 导 大 
家 完成 该 软件 的 配置 过 程 ， 如 图 15-6 所 示 。 








` Outlook 2007 启动 x 





Outlook 2007 启动 
PUMA Outlook 2007 启动 向 导 ， 本 向 导 将 指导 您 完成 Outlook 2007 的 配置 过 程 。 








《< 上 一 步 @) | Fo > | 
图 15-6 Outlook 2007 启 动向 导 


第 2 步 : 配置 电子 邮件 账户 。 在 图 15-7 所 示 的 “账户 设 





置 ? 页 面 中 单 击 “ 是 ” 单 选 按钮 ， 然 后 单 击 “下 一 步 ? 按 钮 。 


帐户 配置 mm 
电子 邮件 帐户 


您 可 以 桓 置 Outlook DEFI Internet 电子 由 件 、 Microsoft Exchange 或 
er ne ee we eae i 








图 15-7 配置 电子 邮件 账户 


第 3 步 : 选择 电子 邮件 服务 的 协议 类 型 。 在 图 15-8 所 示 的 
页 面 中 接受 默认 设置 ， 然 后 单 击 “ 下 一 步 ” 按 钮 。 





pum m) 





选择 电子 邮件 服务 


© "i icrosoft Exchange. POP3. IMAP x HTTP (M) 
icroso 

了 其 他 上 
eons 


Fax Mai 
Dutlo: a 手机 信息 服务 








区 上 =- 步 中)] 攻 一 步 om >) [ 取消 | 
图 15-8 ”选择 电子 邮件 服务 的 协议 类 型 


第 4 步 : 填写 电子 邮件 账户 信息 ， 在 图 15-9 所 示 的 页 面 
中 ,“ 您 的 姓名 ”文本 框 中 可 以 为 目 定 义 的 任意 名 字 , “电子 邮 
件 地 址 ”文本 框 中 则 需要 输入 服务 器 系统 内 的 账户 名 外 加 发 件 
域 , “密码 ”文本 框 中 要 输入 该 账户 在 服务 器 内 的 登录 密码 。 在 
填写 完毕 之 后 ， 单 击 “ 下 一 步 ?按钮 。 








添加 新 电子 地 件 帐户 EX 


自动 帐户 设 
f8 IE ”将 与 您 的 电子 邮件 服务 器 建立 联系 ， 并 将 配置 Internet 服务 提供 商 或 Microsoft Exchange AR 


您 的 姓名 OD : boss 
TØ: Barbara Sankovic 


电子 邮件 地 址 CE): bossêlinuxprobe. com 
hill: barbarafcontoso. com 
密码 (P): xololokolololorolok 
重新 键入 密码 I): eeeoeococr 
键入 您 的 Internet 服务 提 世 商 提 世 的 密码 。 


站 手动 配置 服务 器 设置 或 其 他 服务 器 类 型 M) 








上- 步 @)] 丰 = 步 忠  [ 取消 | 





图 15-9 ”填写 电子 邮件 账户 信息 


第 5 步 : 进行 电子 邮件 服务 登录 验证 。 由 于 当前 没有 可 用 
的 SSL 加 密 服务 ， 因 此 在 Dovecot 服 务 程序 的 主 配置 文件 中 写 入 
了 一 条 参数 ， 让 客户 可 以 使 用 明文 登录 到 电子 邮件 服务 。 
Outlook 软 件 默认 会 通过 SSL 加 密 协议 尝试 登录 电子 邮件 服务 
所 以 在 进行 图 15-10 所 示 的 “搜索 boss@linuxprobe.com 服 务 器 设 
置 ” 大 约 30 一 60 秒 后 ， 系 统 会 出 现 登 录 失 败 的 报错 信息 。 此 时 
只 需 再 次 单 击 “下 一 步 ” 按 钮 ， 即 可 让 Outlook 软 件 通 过 非 加 密 
的 方式 验证 登录 ， 如 图 15-11 所 示 。 




















正在 配置 
正在 配置 电子 邮件 服务 器 设置 。 这 可 能 需要 几 分 钟 : 
SY 建立 网 络 连接 
> ”搜索 boss8@linuxprobe. con 服务 器 设置 
登录 到 服务 器 


< I-EG) 





图 15-10 ”进行 电子 邮件 服务 验证 登录 


“添加 新 电子 邮件 帐户 oT 
联机 搜索 您 的 服务 器 设置 ... 


正在 配置 


正在 配置 电子 邮件 服务 器 设置 。 这 可 能 需要 几 分 钟 : 
建立 网 络 连接 
> 搜索 boss@linuxprobe.com 服务 路 设置 GENE) 
登录 到 服务 器 GENE) 





CET) a 





图 15-11 使 用 非 加 密 的 方式 进行 电子 邮件 服务 验证 登录 





第 6 步 : 向 其 他 信箱 发 送 邮 件 。 在 成 功 登 录 Outlook 软 件 后 
即 可 尝试 编写 并 发 送 新 邮件 了 。 只 需 在 软件 界面 的 空白 处 单 击 
鼠标 右键 ， 在 弹出 的 菜单 中 选择 “新 邮件 ”命令 〈 见 图 15- 
12) ， 然 后 在 邮件 界面 中 填写 收 件 人 的 信箱 地 址 以 及 完整 的 邮 
件 内 容 后 单 击 “ 发 送 ” 按 钮 ， 如 图 15-13 所 示 。 





Microsoft Office Outlook 测试 消息 

Microsoft Office Outlook [boss@linuxprobe || = 
发 送 时 间 : 无 
| A: boss 


这 是 在 测试 您 的 帐户 设置 时 ，Ji crosoft || 








Office Outlook 自动 发 送 的 电子 邮件 。 














图 15-12” 问 其 他 信箱 肥 送 邮件 


当 使 用 Outlook 软 件 成 功 发 送 邮件 后 ， 便 可 以 在 电子 邮件 
服务 器 上 使 用 mail 命 令 查看 到 新 邮件 提醒 了。 如 果 想 查看 邮件 
的 完整 内 容 ， 只 需 得 入 收 件 人 姓名 前 面 的 编号 即 可 。 





PNEC Us eye Hello~ - 邮件 (HTML) Sm x) 


| 邮件 | BA BR 设置 文本 格式 
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BAS 检查 姓名 
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gai sie em 


: 
i 
ai 
B 
中 











WA A (O)... root@linuxprobe. com 
抄 送 (CO). 


主题 (UU): Hello~ 








|» 


当 您 收 到 这 封 邮 件 时 ， 证 明 我 的 邮局 系统 交 验 已 经 成 功 ! e 




















图 15-13 ”填写 收 件 人 信箱 地 址 并 编写 完整 的 邮件 内 容 





[root@linuxprobe ~] # mail 

Heirloom Mail version 12.5 7/5/10.Type ? for help. 
"/var/mail/root": 3 messages 3 unread > 

U 1 user@localhost.com Fri Jul 10 09:58 1631/123113 "[a 
brt] full crash r" 

U 2 Anacron Sat Aug 15 13:33 18/624 "Anacron job 'cron. 
dai" 

U 3 boss Sat Aug 15 19:02 118/3604 "Hello-" 

&> 3 

Message 3: 


From boss@linuxprobe.com Sat Aug 15 19:02:06 2017 
Return-Path: 

X-Original-To: root@linuxprobe.com 

Delivered-To: root@linuxprobe.com 

From: "boss" 

To: 


Subject: Hello~ 

Date: Sat, 15 Aug 2017 19:02:06 +0800 
Content-Type: text/plain; charset="gb2312" 
NODE 省 略 部 分 得 出 信息 .ee 

当 您 收 到 这 封 邮 件 时 ， 证 明 我 的 邮局 系统 实验 已 经 成 功 ! 
> quit 

Held 3 messages in /var/mail/root 





15.3 ”设置 用 户 别 名 信箱 


用 户 别名 功能 是 一 项 简单 实用 的 邮件 账户 伪装 技术 ， 可 以 
用 来 设置 多 个 虚拟 信箱 的 账户 以 接受 发 送 的 邮件 ， 从 而 保证 自 
身 的 邮件 地 址 不 被 泄露 ， 还 可 以 用 来 接收 自己 的 多 个 信箱 中 的 
邮件 。 刚 才 我 们 已 经 顺利 地 向 root 账 户 送 了 邮件 ， 下 面 再 向 bin 
账户 发 送 一 封 邮 件 ， 如 图 15-14 所 示 。 








NE 你 好， 用 户 Bin。 -邮件 (HTML) EN x | 
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主题 (U): 你 好 ， 用户 Bin。 


f 











这 是 一 封 发 给 用 户 Bin 的 文件 。+ 








图 15-14 ”向 服务 器 上 的 bin 账 户 发 送 邮 件 


在 邮件 发 送 后 登录 到 服务 器 ， 人 然后 尝试 以 bin 账 户 的 身份 
登录 。 由 于 bin 账 户 在 Linux 系 统 中 是 系统 账户 ， 默 认 的 Shell 终 
端 是 /sbin/nologin， 因 此 在 以 bin 账 户 登录 时 ， 系 统 会 提示 当前 





IKPANAT A. fe, FERRER A SS EA mailaro ya, A 
看 到 这 封 原 本 要 发 送 给 bin 账 户 的 邮件 已 经 被 存放 到 Y root J^ 
的 信箱 中 。 








[root@linuxprobe ~]# su - bin 

This account is currently not available. 
[root@linuxprobe ~]# mail 

Heirloom Mail version 12.5 7/5/10. 

Type ? for help. 

"/var/mail/root": 4 messages 4 new > 

U 1 user@localhost.com Fri Jul 10 09:58 1630/123103 "[a 
brt] full crash r" 

U 2 Anacron Wed Aug 19 17:47 17/619 "Anacron job 'cron. 
dai" 

U 3 boss Sat Aug 15 19:02 118/3604 "Hello~" U 

4 boss Wed Aug 19 18:49 116/3231 "你 好 ， 用 户 Bin。" 

&> 4 

Message 4: 

From boss@linuxprobe.com Wed Aug 19 18:49:05 2017 
Return-Path: «boss()ülinuxprobe.com» 

X-Original-To: bin@linuxprobe.com 

Delivered-To: bin@linuxprobe.com 

From: "boss" <boss@linuxprobe.com> 

To: <bin@linuxprobe.com> 

Subject: 你 好 ， 用 户 Bin。 

Date: Wed, 19 Aug 2017 18:49:05 +0800 

Content-Type: multipart/alternative; boundaryz"----- Ne 
xtPart 000 0006 01DODAAF. 

B9104E90" 

X-Mailer: Microsoft Office Outlook 12.0 Thread-Index: A 
dDabKrQzUHVBTgRQMaCtUs 

VtqfL1Q-- Content-Language: zh-cn Status: R Content-Typ 
e: text/plain; charset="gb2312" 


ee: 省 略 部 分 输出 信 sss 

这 是 一 封 发 给 用 户 Bin 的 文件 。 

&> quit 

Held 4 messages in /var/mail/root 





太 奇 怪 了 ! 明明 发 送 给 bin 账 户 的 邮件 怎么 会 被 root 账 户 收 
Bl We? 其 实 ， 这 就 是 使 用 用 户 别 名 技术 来 实现 的 。 在 aliases 
邮件 别名 服务 的 配置 文件 中 可 以 看 到 ， 里 面 定义 了 大 量 的 用 户 
别名 ， 这 些 用 户 别 名 大 多 数 是 Linux 系 统 本 地 的 系统 账户 ， 而 
在 冒号 CO 间隔 符 后 面 的 root 账 户 则 是 用 来 接收 这 些 账 户 邮件 
的 人 。 用 户 别 名 可 以 是 Linux 系 统 内 的 本 地 用 户 ， 也 可 以 是 完 
全 虚构 的 用 户 名 字 。 
































下 述 命令 会 显示 大 量 的 内 容 ， 考 虑 到 篇 幅 限制 ， 这 里 已 经 做 了 部 
分 删 减 ， 其 实际 的 输出 名 单 将 是 这 里 的 两 倍 多 。 











[root@linuxprobe ~]# cat /etc/aliases 
# 


# Aliases in this file will NOT be expanded in the head 
er from 

# Mail, but WILL be visible over networks or from /bin/ 
mail. 

# 

# >>>>>>>>>> The program "newaliases" must be run after 
# >> NOTE >> this file is updated for any changes to 

# >>>>>>>>>> show through to sendmail. 


# 

# Basic system aliases -- these MUST be present. 
mailer-daemon: postmaster 

postmaster: root 

# General redirections for pseudo accounts. 
bin: root 

daemon: root 

adm: root 

lp: root 

sync: root 

shutdown: root 

halt: root 

mail: root 

www: webmaster 

webmaster: root 

noc: root 

security: root 

hostmaster: root 

info: postmaster 

marketing: postmaster 

sales: postmaster 

Support: postmaster 

# trap decode to catch security attacks 
decode: root 

# Person who should get root's mail 
#root: marc 








现在 大 家 能 猜 出 是 怎么 一 回 事 了 吧 。 原 来 aliases 邮 件 别 名 
服务 的 配置 文件 是 专门 用 来 定义 用 户 别 名 与 邮件 接收 和 人 的 映 
射 。 除 了 使 用 本 地 系统 中 系统 账户 的 名 称 外 ， 我 们 还 可 以 自行 
定义 一 些 别名 来 接收 邮件 。 例 如 ， 创 建 一 个 名 为 Xx00 的 账户 ， 
而 真正 接收 该 账户 邮件 的 应 该 是 root 账 户 。 








[root@linuxprobe ~]# cat /etc/aliases 

# 

# Aliases in this file will NOT be expanded in the head 
er from 

# Mail, but WILL be visible over networks or from /bin/ 
mail. 


# >>>>>>>>>> The program "newaliases" must be run after 
# >> NOTE >> this file is updated for any changes to 

# >>>>>>>>>> show through to sendmail. 
# 
# 


Basic system aliases -- these MUST be present. 
mailer-daemon: postmaster 
postmaster: root 
# General redirections for pseudo accounts. 
Xxoo: root 
bin: root 
daemon: root 
adm: root 
lp: root 

省 略 部 分 输出 信 sss 





保存 并 退出 aliases 邮 件 别 名 服务 的 配置 文件 后 ， 需 要 再 执 
行 一 下 newaliases 命 令 ， 其 目的 是 让 新 的 用 户 别 名 配置 文件 立 
即 生 效 。 然 后 再 次 尝试 发 送 邮件 ， 如 图 15-15 所 示 : 








这 时 ， 使 用 root 账 户 在 服务 右上 执行 mail 命 令 后 ， 就 能 看 
到 这 封 原 本 要 发 送 给 xxoo 账 户 的 邮件 了 。 最 后 ， 刘 道 老师 再 吃 
嗪 一句 ， 用 户 别 名 技术 不 仅 应 用 广泛 ， 而 且 配 置 也 很 简单 。 所 
以 更 要 提醒 大 家 的 是 ， 今 后 干 万 不 要 看 到 有 些 网 站 上 提供 了 很 





多 客服 信箱 就 轻易 相信 别人 ， 没 准 友 往 这 些 客服 信箱 的 邮件 会 
被 同一 个 人 收 到 。 




















(feud? uU»): 这 是 一 封 发 送 给 xxoo 用 户 的 邮件 。 - 邮件 (HTMD) {uc = al 
[ 3 邮件 EA 选项 设置 文本 格式 e 

[E38 f Sipe EE d~ ~ 

B Rk (中 文正 * | 五 号 -|A a |i iE] Ee oe = vw cà TA 

: ER - I en 
"M jJ (nr uj€-A-( x jede | , pem 
mE ™ 普通 文本 fa Hz zh sm - on 
Wt AO)... xxoo@linuxprobe. com 
主题 (U): 这 是 一 封 发 送 给 xxoo 用 户 的 邮件 。 
E 
顺利 的 话 会 被 root 用 户 接收 到 。* : 














115-15 MIRS 28 LH xxooll Ft ACIS BTE 


[rootglinuxprobe ~]# mail 

Heirloom Mail version 12.5 7/5/10. Type ? for help. 
"/var/mail/root": 5 messages 1 new 4 unread 

U 1 user@localhost.com Fri Jul 10 09:58 1631/123113 "[a 
brt] full crash report" 

U 2 Anacron Wed Aug 19 17:47 18/629 "Anacron job 'cron. 


daily' on mail.linuxprobe.com" 

U 3 boss Wed Aug 19 18:44 114/2975 "hello" 

4 boss Wed Aug 19 18:49 117/3242 "你 好 ， 用 户 Bin。" 

»N 5 boss Wed Aug 19 19:18 115/3254 "这 是 一 封 发 送 给 xxoo 
用 户 的 邮件 。 





F A 


1. 电子 邮件 服务 与 HITP、FTP、NFS 等 程序 的 服务 模式 
的 最 大 区 别 是 什么 ? 











AR. 当 对 方 主机 宕 机 或 对 方 临时 离线 时 ， 使 用 电子 邮件 服 
务 依然 可 以 及 送 数据 。 


2. 常见 的 电子 邮件 协议 有 那些 ? 
答 : SMTP、POP3 和 MAP4。 


3. 电子 邮件 系统 中 MUA、MTA、MDA 三 种 服务 角色 的 
用 途 分 别 是 什么 ? 


答 : MUA 用 于 收发 邮件 、MTA 用 于 转发 邮件 、MDA 用 于 
保存 邮件 。 


4. 使 用 Postfix 与 Dovecot 部 署 电 子 邮件 系统 前 ， 需 要 先 做 
什么 ? 


答 : 需要 先 配 置 部 著 DNS 域 名 解析 服务 ， 以 便 提供 信箱 地 
址 解析 功能 





5. 能 人 否 让 Dovecot 服 务 程序 限制 允许 连接 的 主机 范围 ? 





答 : 可 以 ， 在 Dovecot 服 务 程序 的 主 配置 文件 中 修改 
login_trusted_networks 参 数值 即 可 ， 这 样 可 在 不 修改 防火 墙 集 
略 的 情况 下 限制 来 访 的 主机 范围 。 


6. 使 用 Outlook 软 件 连接 电子 邮件 服务 器 的 地 址 
mail.linuxprobe.com 时 ， 提 示 找 不 到 服务 器 或 连接 超时 ， 这 可 
能 是 什么 原因 导致 的 呢 ? 








答 : 很 有 可 能 是 DNS 域名 解析 问题 引起 的 连接 超时 ， 可 在 
服务 器 与 客户 端 分 别 执行 ping mail.linuxprobe.com 命令 ， 测 试 
是 否 可 以 正常 解析 出 IP 地 址 。 








7. 如 何 定义 用 户 别名 信箱 以 及 让 其 立即 生效 ? 











答 : 可 直接 修改 邮件 别名 服务 的 配置 文件 ， 并 在 保存 退出 
后 执行 newaliases 命 令 即 可 让 新 的 用 户 别 名 立即 生效 。 


第 16 章 ”使 用 Squid 部 署 代理 缓存 服务 





代理 缓存 服务 ; 








。 配置 Squid 服 务 程序 ; 


. EHAR; 






反问 代理 。 





本 章 首 先 介绍 代理 服务 的 原理 以 及 作用 ， 然 后 介绍 Squid 








服务 程序 正 回 解 林 和 反 回 解析 的 理论 以 及 配置 方法 。 其 中 ， 正 
问 代 理 模 式 不 仅 可 以 让 用 户 使 用 Squid 代 理 服 务 器 上 网 ， 还 可 
以 基于 指定 的 耳 地址 、 域 名 关键 词 、 网 站 地 址 或 下 载 文 件 后 绥 
等 信息 ， 实 现 类 似 于 访问 控制 列表 的 功能 。 有 反问 代 理 模式 可 以 
大 幅 提 升 网 站 的 访问 速度 ， 还 可 以 帮助 网 站 服务 器 减轻 负载 压 
Fie 











在 掌握 了 Squid 服 务 程 序 的 标准 正 同 代理 模式 、 透 明正 回 
代理 模式 、 访 问 控制 列表 功能 以 及 反问 代理 等 实用 功能 之 后 ， 
读者 不 但 可 以 进一步 理解 代理 服务 ， 提 升 服务 控制 能 力 ， 而 且 








在 步 入 运 维 岗 位 后 能 够 游 思 有 余地 处 理 相关 问题 。 


16.1 ”代理 缓存 服务 





Squid 是 Linux 系 统 中 最 为 流行 的 一 球 高 性 能 代理 服务 软 

件 ， 通 常用 作 Web 网 站 的 前 置 缓存 服务 ， 能 够 代 蔡 用 户 同 网 站 
服务 器 请 求 页 面 数 据 并 进行 缓存 。 简 单 来 说，Squid 服 务 程序 
会 按照 收 到 的 用 户 请 求 回 网 站 源 服 务 器 请 求 页 面 、 图 片 等 所 需 
的 数据 ， 并 将 服务 器 返回 的 数据 存储 在 运行 Squid 服 务 程 序 的 
服务 器 上 。 当 有 用 户 再 请 求 相 同 的 数据 时 ， 则 可 以 直接 将 存储 
服务 器 本 地 的 数据 交付 给 用 户 ， 这 样 不 仅 减 少 了 用 户 的 等 待 时 
间 ， 还 绥 解 了 网 站 服务 器 的 负载 压力 。 





























Squid 服 务 程序 具 有 配置 简单 、 效 率 高 、 功 能 丰富 等 特 
点 ， 它 能 支持 HTTP、FTP、SSL 等 多 种 协议 的 数据 缓存 ， 可 以 
基于 访问 控制 列表 (ACL) 和 访问 权限 列表 (ARL) 执行 内 容 
过 滤 与 权限 管理 功能 ， 还 可 以 基于 多 种 条 件 禁 目 用户 访问 存在 
威胁 或 不 适宜 的 网 站 资源 ， 因 此 可 以 保护 企业 内 网 的 安全 ， 提 
升 用 户 的 网 络 体验 ， 帮 助 节省 网 络 带 宽 。 























由 于 绥 存 代理 服务 不 但 会 消耗 服务 器 较 多 的 CPU 计算 性 
能 、 内 存 以 及 硬盘 等 硬件 资源 ， 同 时 还 需要 较 大 的 网 络 带 宽 》 
保障 数据 的 传输 效率 ， 由 此 会 造成 较 大 的 网 络 带 宽 开 销 。 因 此 
内 很 多 IDC 或 CDN 服 务 提供 商会 将 缓存 代理 节点 服务 器 放置 








在 二 三 线 城市 以 降低 运营 成 本 。 





在 使 用 Squid 服 务 程序 为 用 户 提 供 缓存 代理 服务 时 ， 共 有 
正 问 代 理 模式 和 反 回 代理 模式 之 分 。 





所 谓 正 向 代理 模式 ， 是 指 让 用 户 通 过 Squid 服 务 程序 获取 
网 站 页 面 等 资源 ， 以 及 基于 访问 控制 列表 (ACL) 功能 对 用 户 
访问 网 站 行为 进行 限制 ， 在 具体 的 服务 方式 上 又 分 为 标准 代理 
模式 与 透明 代理 模式 。 标 准 正 癌 代 理 模式 是 把 网 站 数据 绥 人 存 到 
服务 器 本 地 ， 提 高 数据 资源 被 再 次 访问 时 的 效率 ， 但 是 用 户 在 
上 网 时 必须 在 浏览 器 等 软件 中 填写 代理 服务 占 的 IP 地 址 与 端口 
写 信 息 ， 否 则 默认 不 使 用 代理 服务 。 而 透明 正 同 代 理 模式 的 作 
用 与 标准 正 疝 代理 模式 基本 相同 ， 区 别 是 用 户 不 需要 手动 指定 
代理 服务 器 的 IP 地 址 与 端口 号 ， 所 以 这 种 代理 服务 对 于 用 户 来 
讲 是 相对 透明 的 。 















































使 用 Squid 服 务 程序 提供 正 同 代 理 服务 的 拓扑 如 图 16-1 所 
示 。 局 域 网 内 的 主机 如 果 想 要 访问 外 网 ， 则 必须 要 通过 Squid 
服务 器 提供 的 代理 才 行 ， 这 样 当 Squid 服 务 器 接收 到 用 户 的 指 
令 后 会 回 外 部 发 出 请 求 ， 然 后 将 接收 到 的 数据 交还 给 及 出 指令 
的 那个 用 户 ， 从 而 实现 了 用 户 的 代理 上 网 需求 。 男 外 ， 从 拓扑 
图 中 也 不 难看 出 ， 企 业 中 的 主机 要 想 上 网 ， 就 必须 要 经 过 公司 
的 网 关 服 务 右 ， 既 然 这 是 一 条 流量 的 必 经 之 路 ， 因 此 企业 一 般 

















还 会 把 Squid 服 务 程序 部 车 到 公司 服务 圳 位 置 ， 并 通过 稍 后 讲 
到 的 ACL“《〈 访 问 控制 列表 ) 功能 对 企业 内 员工 进行 上 网 审计 及 
限制 。 





Squid 服务 器 








图 16-1 Squid 服 务 程序 提供 正 同 代理 服务 


反 回 代理 模式 是 指 让 多 人 台 节 点 主机 反 回 缓存 网 站 数据 ， 从 
而 加 快 用 己 访 问 速 度 。 因 为 一 般 来 讲 ， 网 站 中 会 普 过 加 载 大量 
的 文字 、 图 片 等 静态 资源 ， 而 且 它 们 相对 来 说 都 是 比较 稳定 的 
数据 信息 ， 当 用 户 发 起 网 站 页 面 中 这 些 静 态 资源 的 访问 请 求 
时 ， 我 们 可 以 使 用 Squid 服 务 程 序 提供 的 反问 代理 模式 来 进行 
啊 尿 。 而 且 ， 如 果 反 同 代 理 服 务 右 中 恰巧 已 经 有 了 用 户 要 访问 
的 静态 资源 ， 则 直接 将 缓存 的 这 些 静 态 资 源 发 送 给 用 户 ， 这 不 
仅 可 以 加 快 用 户 的 网 站 访问 速度 ， 还 在 一 定 程度 上 降低 了 网 站 
服务 器 的 负载 压力 。 





























使 用 Squid 服 务 程序 提供 反 回 代理 服务 的 拓扑 如 图 16-2 上 所 
示 。 当 外 网 用 户 党 试 访问 某 个 网 站 时 ， 实 际 请 求 是 被 Squid 服 
务 器 所 处 理 的 。 反 向 代理 服务 器 会 将 缓存 好 的 静态 资源 更 快 地 





交付 给 外 网 用 户 ， 从 而 加 快 了 网 站 页 面 被 用 户 访问 的 速度 。 并 
且 由 于 网 站 页 面 数据 中 的 静态 资源 请 求 已 被 Squid 服 务 占 处 
理 ， 因 此 网 站 服务 器 负责 动态 数据 碍 询 就 可 以 了 ， 也 进而 降低 
了 服务 器 机 房 中 网 站 服务 器 的 负载 压力 。 

















忆 结 来 说 ， 正 向 代理 模式 一 般 用 于 企业 局 域 网 之 中 ， 让 企 
业 用 户 统一 地 通过 Squid 服 务 访问 互联 网 资源 ， 这 样 不 仅 可 以 
在 一 定 程度 上 减少 公 网 带宽 的 开销 ， 而 且 还 能 对 用 户 访 问 的 网 
站 内 容 进行 监管 限制 ,一旦 内 网 用 户 访 问 的 网 站 内 容 与 禁止 规 
则 相 匹 配 ， 束 会 自动 屏蔽 网 站 。 反 向 代 理 模 式 一 般 是 为 大 中 型 
网 站 提供 缓存 服务 的 ， 它 把 网 站 中 的 静态 资源 保存 在 国内 多 个 
节点 机 房 中 ， 当 有 用 户 发 起 静态 资源 的 访问 请 求 时 ， 可 以 就 近 
为 用 户 分 配 节 点 并 传输 资源 ， 因 此 在 大 中 型 网 站 中 得 到 了 普通 
应 用 。 




















图 16-2 ”Squid 服务 程序 提供 的 反问 代理 模式 


16.2 ”配置 Squid 服 务 程序 


Sdquid 服 务 程序 的 配置 步骤 虽然 十 分 简单 ， 但 依然 需要 为 
大 家 交代 一 下 实验 所 需 的 设备 以 及 相应 的 设置 。 首 先 需要 准备 
两 台 虚 拟 机 ， 一 台 用 作 Squid 服 务 器 ， 男 外 一 台 用 作 Squid 客 户 
病 ， 后 者 无 论 是 Windows 系 统 还 是 Linux 系 统 此 可 (本 实验 中 
使 用 的 是 windows 7 操作 系统 ) 。 为 了 能 够 相互 通信 ， 需 要 将 
这 两 台 虚 拟 机 都 设置 为 仪 主机 模式 (Hostonly)〉 ， 然 后 关闭 其 
中 一 台 虚 拟 机 的 电源 ， 在 添加 一 块 新 的 网 卡 后 开局 电源 ， 如 图 
16-3 所 示 。 














设备 摘要 设备 状态 
me 内 存 1.5 GB L 已 连接 (5C) 
[ 处 理 器 4 (V| 启动 时 连接 (D) 
3 i (SCSI) 20 GB (预先 分 配 ) : 
“)CD/DVD (SATA) 正在 使 用 文件 FART EE ARHEL-ser... 网 络 连 接 
Tea aes aE 如 主机 模式 © 桥接 模式 (B): 直接 连接 物理 网 络 
电网 络 适 配器 2 桥接 模式 (自动 ) E SHER 
Gers 自动 检测 O 复制 物理 网 络 连 接 状 态 (P) 





© NAT 模式 (N): 用 于 共享 主机 的 IP 地 址 
© REM (4): 与 主机 共享 的 专用 网 络 
© KEXU): 特定 虚拟 了 网络 

VMnet0 (自动 桥接 ) 
© LAN 区 段 (上 ): 











| LAN 区 段 (S).… | | 高 级 (V)..， | 
图 16-3 ”在 其 中 一 台 虚 拟 机 中 添加 一 块 新 网 卡 
需要 注意 的 是 ， 这 块 新 添加 的 网 卡 设备 必须 选择 为 桥接 模 





A PUXA Er IDL BCI TA Sb). FR AS 16-1 ic x PY 
台 虚 拟 机 的 IP 地 址 。 


表 16-1 Squid 服 务 器 和 客户 端的 操作 系统 和 IP 地 址 信息 


l 2 外 网 卡 : 桥接 DHCP 模 式 
Squid 服 务 器 RHEL 7 
内 网 卡 : 192.168.10.10 
Squid 客 户 端 192.168.10.20 


这 样 一 来 ， 我 们 就 有 了 一 台 既 能 访问 内 网 ， 又 能 访问 外 网 
的 虚拟 机 了 。 一 会 儿 需 要 把 Squid 服 务 程序 部 署 在 这 人 台 虚 拟 机 
上 ， 然 后 让 另外 一 台 原 本 只 能 访问 内 网 的 虚拟 机 《〈 即 Squid 客 
户 端 ) 通过 Squid 服 务 器 进行 代理 上 网 ， 从 而 使 得 Squid 客 户 端 
也 能 访问 外 部 ”网 站 。 














另外 ， 我 们 还 需要 检查 Squid 服 务 嚣 是否 已 经 可 以 成 功 访 
问 外 部 网 络 。 可 以 ping 一 个 外 网 域名 进行 测试 〈 手 动 按 下 
Ctrl+c 键 停止 ) 。 





[root@linuxprobe ~]# ping www.linuxprobe.com 
PING www.linuxprobe.com (162.159.211.33) 56(84) bytes o 


f data. 

64 bytes from 162.159.211.33: icmp seq-1 ttl-45 time=16 

6 ms 

64 bytes from 162.159.211.33: icmp seq-2 ttl-45 time-16 

8 ms 

64 bytes from 162.159.211.33: icmp seq-3 ttl-45 time-16 

7 ms 

64 bytes from 162.159.211.33: icmp seq-4 ttl-45 time-16 

6 ms 

AG 

--- www.linuxprobe.com ping statistics --- 

4 packets transmitted, 4 received, 0% packet loss, time 
3006ms 

rtt min/avg/max/mdev - 166.361/167.039/168.109/0.836 ms 





AC ELUF Yum EU CERERI Vc BEB I DA ZUR 
Squid 服 务 程序 了 。 考 外 到 本 书 中 大 部 分 服务 程序 都 是 通过 
Yum 软 件 仓库 安装 的 ， 读 者 应 该 对 此 十 分 熟悉 ， 因 此 这 里 不 青 
资 述 。 当 然 ， 大 家 也 不 必 担 心 自 己 过 于 依赖 Yum 软 件 仓库 来 管 
理 软件 程序 包 ， 第 20 章 会 讲解 如 何 通过 源码 包 的 方式 来 安装 服 
务 程序 。 





























[root@linuxprobe ~]# yum install squid 

Loaded plugins: langpacks, product-id, subscription-man 
ager 

This system is not registered to Red Hat Subscription M 
anagement. You can use 

subscription-manager to register. 

rhel | 4.1 kB 00:00 

Resolving Dependencies 

--» Running transaction check 


ieee 省 略 部 分 输出 信 sss 

Installed: 
squid.x86 64 7:3.3.8-11.e17 

Dependency Installed: 
libecap.x86 64 0:0.2.0-8.e17 
perl-Compress-Raw-Bzip2.x86 64 0:2.061-3.e17 
perl-Compress-Raw-Zlib.x86 64 1:2.061-4.e17 
perl-DBI.x86 64 0:1.627-4.e17 
perl-Data-Dumper.x86 64 0:2.145-3.e17 
perl-Digest.noarch 0:1.17-245.e17 
perl-Digest-MD5.x86 64 0:2.52-3.e17 
perl-IO-Compress.noarch 0:2.061-2.e17 
perl-Net-Daemon.noarch 0:0.48-5.e17 
perl-PIRPC.noarch 0:0.2020-14.e17 

Complete! 











与 之 前 配置 过 的 服务 程序 大 致 类 似 ，Squid 服 务 程序 的 配 
置 文件 也 是 存放 在 /etct 目 录 下 一 个 以 服务 名 称 命名 的 目录 中 。 
表 16-2 罗 列 了 一 些 常用 的 Squid 服 务 程序 配置 参数 ， 大 家 可 以 
预先 浏览 一 下 。 





表 16-2 常用 的 Squid 服 务 程序 配置 参数 以 及 作用 


http_port 3128 监听 的 端口 号 


cache_mem 64M 内 存 缓冲 区 的 大 小 





cache dir ufs /var/spool/squid 2000 


16 256 


cache effective user squid 


cache effective group squid 


dns nameservers [IP 地 址 ] 


cache_access_log 


/var/log/squid/access. log 


cache log /var/log/squid/cache. log 


visible hostname linuxprobe.com 


硬盘 缓冲 区 的 大 小 


设置 缓存 的 有 效用 户 


设置 缓存 的 有 效用 户 组 


一 般 不 设置 ， 而 是 用 服务 器 默认 的 
DNS 地 址 


访问 日 志文 件 的 保存 路 径 


缓存 日 志文 件 的 保存 路 径 


设置 Squid 服 务 器 的 名 称 





16.3 正 回 代理 


16.3.1 标准 正 向 代理 


Squid 服 务 程序 软件 包 在 正确 安装 并 启动 后 ， 默 认 就 已 经 
可 以 为 用 户 提 供 标 准 正 同 代 理 模 式 服务 了 ， 而 不 再 需要 单独 修 
改 配置 文件 或 者 进行 其 他 操作 。 接 下 来 在 运行 Windows 7 系统 
的 客户 端 上 面 打 开 任 意 一 款 浏览 器 ， 然 后 单 击 *Internet 选 项 ” 命 
令 ， 如 图 16-4 所 示 。 




















[root@linuxprobe ~]# systemctl restart squid 
[root@linuxprobe ~]# systemctl enable squid 


In -s '/usr/lib/systemd/system/squid.service' '/etc/sys 
temd/system/multi-user. 
target.wants/squid.service' 

















@ Internet Explorer 无 法 显示 该 网 页 - Windows Internet Explorer = 
QGU- le} http://localhost, -| 好 | x I Bing P ~| 
ie toe | 次 固 建议 网 站 v 居 网 页 快讯 库 à) 
{Æ Internet Explorer ZGEEZGERITI + Gy | a + EEO- #225) -[IRO-j6e- 
a 诊断 连接 问题 (C).. 
2 =< 人 重新 打开 上 次 浏览 会 话 (S 
C) Internet Explorer 无 法 显示 该 网 页 
E) 弹出 窗口 阻止 程序 (p) d 
<j 管理 加 载 项 (从 
您 可 以 尝试 以 下 操作 : 
QR KNIE 
TT 1 33 ue sta . 
PEEBUE 打开 Windows7 系 统 的 浏览 器 后 依次 点 击 : & ose 
兼容 性 视图 设置 (B) 
@ 更 全 信息 国 SRE Fil 
工具 栏 (T) 
浏览 器 栏 (X) 
le 开发 人 员工 具 (D) F12 
建议 网 站 (G) 








图 16-4 N ee PY “Internet ize Lil” d 


要 想 使 用 Squid 服 务 程 序 提供 的 标准 正 同 代理 模式 服务 ， 
就 必须 在 浏览 器 中 填写 服务 器 的 IP 地 址 以 及 端口 号 信息 。 因 此 
还 需要 在 “连接 ”选项 卡 下 单 击 “ 局 域 网 设置 ”按钮 ( 见 图 16- 
5) ， 并 按照 图 16-6 所 示 填 写 代 理 服 务 器 的 信息 ， 然 后 保存 并 
退出 配置 向 导 。 


Internet 选项 EN x) 
xm lza [má [ms [=e [sm 

Ee ERE internet 连接 ， 单 击 “ 设 
抄 号 和 虚拟 专用 网 络 设置 




















zn qo... 
MIRR R) 
grossen i 请 选择 “ 设 设置 E) 








© 从 不 进行 拨号 连接 人) 
不 论 网 络 连接 是 否 存在 都 进行 拨号 0) 
始终 按 打 默认 连接 0) 
Sn X TERMA 


局 域 网 (LAM) 设 置 - 


© — 
LN PETEMAR Se UTS 











[AW J| mp )| GO 











图 16-5 “在 “连接 ”选项 卡 中 单 击 “ 局 域 网 设置 ?按钮 


Internet 选项 
Bem (LANES 


自动 配置 
自动 配置 会 覆盖 手动 设置 。 要 确保 使 用 手动 设置 ， 请 禁用 自动 配置 。 


TERES ra. QU: 
ABA S) 
diti) 
代理 服务 器 
(VA) LAN 使 用 代理 服务 器 (人 这些 设 置 不 用 于 拨号 或 VEN 连接 ) QO 
HAt Æ): 192.168.10.10 0O 0): 3128 
器] 跳 过 本 地 地 址 的 代理 服务 器 B) 











局 域 网 设置 L) 




















图 16-6 ”填写 代理 服务 器 的 IP 地 址 与 端口 号 
现在 ， 用 户 可 以 使 用 Squid 服 务 程序 提供 的 代理 服务 了。 
托 代 理 服 务 器 转发 的 福 ， 网 卡 被 设置 为 仅 主 机 模式 
(Hostonly) 的 虚拟 机 也 能 奇迹 般 地 上 网 浏览 了 了 ， 如 图 16-7 所 
Zo 











rm De 


Witte FS FE “Linux 资讯 RRR BATA ”投稿 Linux 培训 培训 记录 





| 您 心中 那 颗 求 知 的 小 字 言 ,不仅 如 此 ,我们 的 @@》 国 队 成 员 在 寺 闫 更 新 书 穆 与 全 配套 工 屋 的 同时 ， 还 在 为 您 收集 束 理 着 值 得 每 天 看 一 
看 的 “(各 新 闻 次 讯 ” 和 “技术 干 舍 ” ,当然 也 欢迎 末 和 QQ 技术 如 里 拭 大 牛 ! ~ 








红 幅 认证 


加 入 我 们 登录 





x ^i Lr 
| 免费 还 是 收费 ? 基础 课程 目录 
《Linux 就 这 这 么 学 》 是 一 本 注重 夹 用 性 的 Linux 技 术 自 学 书 得 , 自 基础 篇 公布 后 日 第 阅读 量 已 经 超过 7000 多 人 【每 天 】 ,以 后 项 SOR 咱们 先 来 淡淡 学 习 方法 和 红 相 系统 . 
SANA SERRA UREA), HARNESSES  SRRRE RAE S15 部 轩 虐 所 环境 安装 inux 系 统 。 


第 2 章 新 手 必须 学 沽 的 Linux 命 令 。 
第 3 章 管道 符 、 重 定向 与 环 : b 
第 4 章 Vim RRES Shelo OHA, 
第 5 章 用 户 身份 与 文件 权限 。 































当 经 过 了 如 此 超时 间 的 准备 ， 我 们 正在 开办 一 个 和 EDLinux 在 线 培 训 旺 ， 通 过 结合 网 络 培训 的 优势 ， 以 超 高 的 性 价 比 面向 所 有 0 基础 的 ri 
= Unux 技 术 要 好 者 | RSEBAA Minute ,培训 由 书籍 的 作者 刘 选 主讲 , BARAT ETH ， 第 7 章 使 用 RAID 与 LVM 磋 盘 阵 列 技术 。 
课 香 从 录 基础 的 安装 Linux 系 统 到 高 级 服务 部 署 ， 并 且 因 为 内 容 完 全 100% 的 要 羡 了 三 红 唱 RHCSA+ RHCE 认 证 考试 范围 (课程 内 容 非 mm pictam uim 
E shies eS? voEE-EUL. 
常 丰富 , 我 们 更 注重 实用 技术 , 而 绝 非 为 红 幅 考试 而 讲课 ) | EXIDIGCRSESISRUS RUBUS E ESTA SR108 使 有 Apache 服务 部 轩 基 网 站 . 
| 118 使 用 Vsftpd 层 务 传 给 文件 。 
我 们 的 课程 以 在 线 垃 训 为 主 LEP IOS TRUE) ,您 可 以 膨 时 随地 的 下 载 录 播 课程 ， 并 为 了 保证 培训 的 质量 ,我们 每 两 ims er 
| 个 月 仅 开 一 次 班 , 每 期 招生 约 为 50 人 ， 赔 送 纸 质 教材 及 所 需 工 具 , 提前 预约 得 越 早 ， 价 格 越 优惠 明 . 第 13 章 使 用 Bind 提 供 诚 名 解析 服务 。 
因 老 师 齐 麻 和 答疑 很 忙 ， 请 您 报名 前 一 定 要 先 看 下 培训 介绍 : http://www.li bi traini :5604241| 第 14 章 使 用 DHCP 动 态 管理 主机 地 址 。 
\ 老师 讲课 和 答 经 很 忙 ， 请 = 介 p;//www.linuxprobe.com/training/QQ: A QQ 交谈 aie Bae en eee 
| S168 使 用 Squid 部 轩 代 理 继 存 服务 。 
nein " EE 3 3 8178 使 用 iSCSI 服务 部 寺 网 络 存储 。 
| S185 i FiMariaDB HE E ERE cs. 
投资 自己 的 大 脑 , KERR, SURE, 第 19 章 使 用 pPXE+ Kickstart BEKA ETE, 
\ 58208 使 用 LNMP 架 构 部 署 动态 网 站 环境 。 


作为 一 家 专注 于 Linux 技 术 的 网 络 教育 平台 ， 我 们 的 优势 不 仅仅 是 高 性 价 比 的 课程 ， 而 且 非 常 自豪 能 种 为 学 员 提供 更 加 便 兵 、 不 委 时 f 
s 学 习 服 务 ， Bm 非常 了 播 视 省 谋 程 未 作为 您 的 主要 学 习 资料 ， 译 程 FERDE, EBA 
NONE er rem | 进 阶 课程 目录 | 
ll reo - E FER | 第 21 章 使 用 Git 分 布 式 版 本 控制 系统 。 
您 只 需要 描 右 侧 二 维 码 或 微 信 搜 索 :"LinuxProbe" 即 可 完成 下 载 la) | | coe cece 


第 23 章 使 用 OpenLDAP 部 雪 目 录 服 务 。 
am: 了 


$8248 使 用 Xen 与 Kvm 部 雪 庶 拟 化 服务 环境 。 
请 关注 《Linux 就 该 这 么 学 》 的 微 信 公 众 号 ， 回复 : “验证 码 * 


配套 资料 


Linux 就 该 这 么 学 PDF、word 电 子 版 下 载 。 
深度 评 解 红 昌 RHCSA、RHCE、RHCA 认 证 。 


图 16-7 虚拟 机 可 以 正常 网 络 外 网 


如 此 公开 而 没有 密码 验证 的 代理 服务 终归 让 人 觉得 不 放 
D, -AA AERA ZEAE? Squid 服 务 程序 默认 使 
用 3128、3401 与 4827 等 端口 号 ， 因 此 可 以 把 默认 使 用 的 问 口 号 
修改 为 其 他 值 ， 以 便 起 到 一 定 的 保护 作用 。 现 在 大 家 应 该 都 知 
道 ， 在 Linux 系 统 配置 服务 程序 其 实 束 是 修改 该 服务 的 配置 文 
件 ， 因 此 直接 在 /etc 目 录 下 的 Squid 服 务 程序 同名 目录 中 找到 配 
置 文件 ， 把 http_port 参 数 后 面 原 有 的 3128 修 改 为 10000， 即 把 
Squid 服 务 程序 的 代理 服务 端口 修改 成 了 新 值 。 最 后 一 定 不 要 
态 记 重启 服务 程序 。 








(A ) 








获取 该 页 面 的 验证 码 。 






































[root@linuxprobe ~]# vim /etc/squid/squid.conf 


—Ó 省 略 部 分 得 出 信息 .ee 

45 # 

46 # INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM 
YOUR CLIENTS 

47 # 

48 

49 # Example rule allowing access from your local netwo 
rks. 

50 # Adapt localnet in the ACL section to list your (in 
ternal) IP networks 

51 # from where browsing should be allowed 

52 http_access allow localnet 

53 http_access allow localhost 

54 

55 # And finally deny all other access to this proxy 

56 http_access deny all 


58 # Squid normally listens to port 3128 
59 http port 10000 
— 省 略 部 分 输出 信 sss 
[root@linuxprobe ~]# systemctl restart squid 
[root@linuxprobe ~]# systemctl enable squid 
In -s '/usr/lib/systemd/system/squid.service' '/etc/sy 
stemd/system/multi-user. 
target.wants/squid.service' 











有 没有 突然 觉得 这 一 秦 似 曾 相 识 ? 在 10.5.3 节 讲解 基于 端 
口号 来 部 萤 httpd 服 务 程 序 的 虚拟 主机 功能 时 ， 我 们 在 编辑 完 
httpd 服 务 程 序 的 配置 文件 并 重启 服务 程序 后 ， 被 系统 提示 报 
音 。 尽 管 现在 重 司 Squid 服 务 程序 后 系统 没有 报错 ， 但 是 用 户 
还 不 能 使 用 代理 服务 。SElinux 安 全 子 系统 认为 Squid 服 务 程 序 
使 用 3128 问 口号 是 理所当然 的 ， 因 此 在 默认 策略 规则 中 也 是 多 

















许 的 ， 但 是 现在 Squid 服 务 程序 却 尝 试 使 用 新 的 10000 端 口号 ， 
而 该 端口 原本 并 不 属于 Squid 服 务 程序 应 该 使 用 的 系统 资源 ， 
因此 还 需要 手动 把 新 的 端口 号 添加 到 Squid 服 务 程序 在 SElinux 
域 的 允许 列表 中 。 











[root@linuxprobe ~]# semanage port -1 | grep squid port 


t 
squid port t tcp 3128, 3401, 4827 
squid port t udp 3401, 4827 
[root@linuxprobe ~]# semanage port -a -t squid port t - 
p tcp 10000 

[root@linuxprobe ~]# semanage port -1 | grep squid port 
t 

squid port t tcp 10000, 3128, 340 
1, 4827 

squid port t udp 3401, 4827 





16.3.2 ” ACL 访问 控制 








在 日 常 工 作 中 ， 企 业 员 工 一 般 是 通过 公司 内 部 的 网 天 服务 
右 来 访问 互联 网 ， 当 将 Squid 服 务 程 友 部 署 为 公司 网 络 的 网 关 
服务 器 后 ，Squid 服 务 程序 的 访问 控制 列表 ACL) 功能 将 发 
挥 它 的 用 武之 地 。 它 可 以 根据 指定 的 策略 条 件 来 缓存 数据 或 限 
制 用 户 的 访问 。 比 如 很 多 公司 会 分 时 段 地 禁止 员工 往 淘 宝 、 打 
网 页 游戏 ， 这 些 禁 止 行为 都 可 以 通过 Squid 服 务 程序 的 ACL 功 
能 来 实现 。 大 家 如 条 日 后 在 人 员 流 动 较 大 的 公司 中 从 事 运 维 工 
作 ， 可 以 牢记 本 节 内 容 ， 在 公司 网 关 服 务 器 上 部 车 的 Squid 服 














PIET Hs DRE HR ARE, ER LY Ta ARE BS Dd vd eX oe 
争 对 手 的 网 站 ， 没 准 还 能 有 效 降 低 员 工 的 流失 率 。 


Squid 服 务 程序 的 ACL 是 由 多 个 集 略 规 则 组 成 的 ， 它 可 以 
根据 指定 的 集 略 规则 来 允许 或 限制 访问 请 求 ， 而 且 集 略 规则 的 
匹配 顺序 与 防火 墙 策略 规则 一 样 都 是 由 上 至 下 ; 在 一 旦 形成 匹 
配 之 后 ， 则 立即 执行 相应 操作 并 结束 匹配 过 程 。 为 了 避免 ACL 
将 所 有 流量 全 部 禁止 或 全 部 放行 ， 起 不 到 预期 的 访问 控制 效 
果 ， 运 维 人 员 通 常会 在 ACL 的 最 下 面 写 上 deny all 或 者 allow all 
语句 ， 以 避免 安全 隐患 。 








刘 道 老师 将 通过 下 面 的 4 个 实验 问 大 家 演示 Squid 服 务 程 序 
的 ACL 功 能 有 多 么 强大 。 


实验 1: 只 允许 IP 地 址 为 192.168.10.20 的 客户 端 使 用 服务 
器 上 的 Squid 服 务 程序 提供 的 代理 服务 ， 禁 止 其 余 所 有 的 主机 
代理 请 求 。 











下 面 的 配置 文件 依然 是 Squid 服 务 程序 的 配置 文件 ， 但 是 
需要 留心 配置 参数 的 填写 位 置 。 如 果 写 的 太 徘 前 ， 则 有 些 
Squid 服 务 程序 自身 的 语句 都 没有 加 载 完 ， 也 会 导致 策略 无 
效 。 当 然 也 不 用 太 靠 后 ， 大 约 在 26~32 行 的 位 置 就 可 以 ， 而 且 
采用 分 行 填写 的 方式 也 便于 日 后 的 修改 。 

















[root@linuxprobe ~]# vim /etc/squid/squid. conf 

1 # 

2 # Recommended minimum configuration: 

3 # 

4 

5 # Example rule allowing access from your local netwo 
rks. 

6 # Adapt to list your (internal) IP networks from whe 
re browsing 

7 # should be allowed 

8 acl localnet src 10.0.0.0/8 # RFC1918 possible inter 
nal network 

9 acl localnet src 172.16.0.0/12 # RFC1918 possible in 
ternal network 

10 acl localnet src 192.168.0.0/16 # RFC1918 possible 
internal network 

11 acl localnet src fc00::/7 # RFC 4193 local private 
network range 

12 acl localnet src fe80::/10 # RFC 4291 link-local (d 
irectly plugged) mac hines 

13 

14 acl SSL ports port 443 

15 acl Safe ports port 80 # http 

16 acl Safe ports port 21 # ftp 

17 acl Safe ports port 443 # https 

18 acl Safe ports port 70 # gopher 

19 acl Safe ports port 210 # wais 

20 acl Safe ports port 1025-65535 # unregistered ports 
21 acl Safe ports port 280 # http-mgmt 

22 acl Safe ports port 488 # gss-http 

23 acl Safe ports port 591 # filemaker 

24 acl Safe ports port 777 # multiling http 

25 acl CONNECT method CONNECT 

26 acl client src 192.168.10.20 

27 # 


28 # Recommended minimum Access Permission configurati 


29 # 

30 # Deny requests to certain unsafe ports 
31 http access allow client 

32 http access deny all 

33 http access deny !Safe ports 


c — ^3 We HE A 4688 EH Te e 


[root@linuxprobe ~]# systemctl restart squid 








上 面 的 配置 参数 其 实 很 容易 理解 。 首 先 定 义 了 一 个 名 为 
client 的 别名 。 这 其 实 类 似 于 13.6 节 讲解 的 DNS 分 离 解析 技术 ， 
当时 我 们 分 别 定 义 了 两 个 名 为 china 与 american 的 别名 变量 ， 这 
样 当 再 遇 到 这 个 别名 时 也 就 意味 着 与 之 定义 的 下地 址 了 。 保 存 
配置 文件 后 重启 Squid 服 务 程序 ， 这 时 由 于 客户 端 主机 的 IP 地 
址 不 符合 我 们 的 允许 策略 而 被 禁止 使 用 代理 服务 ， 如 图 16-8 所 
ZN 0 














E tix: 您 所 请 求 的 网 址 ( URL ) 无 法 获取 - Windows Internet Explorer 
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ERROR ee 
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255. 255. 255.0 


‘ Sec ， 所 以 被 拒绝 
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当 尝试 取 回 该 URL EINE: hA 
IPv4 WINS 服务 
访问 被 拒绝 。 已 启用 NetBIOS ove... 是 
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@ Internet | 保护 模式 : 启用 


图 16-8 ”使 用 代理 服务 浏览 网 页 失败 





实验 2: 蔡 止 所 有 客户 端 访问 网 址 中 包含 linux 关 键 词 的 网 





Squid 服 务 程序 的 这 种 ACL 功 能 模式 是 比较 粗 儿 暴力 的 ， 
客户 奖 访 问 的 任何 网 址 中 只 要 包含 了 某 个 关键 词 就 会 被 立即 茶 
止 访问 ， 但 是 这 并 不 影响 访问 其 他 网 站 。 








[root@linuxprobe ~]# vim /etc/squid/squid.conf 
24 acl Safe_ports port 777 # multiling http 
25 acl CONNECT method CONNECT 


26 acl deny_keyword url_regex -i linux 

27 # 

28 # Recommended minimum Access Permission configurati 
on: 

29 # 

30 # Deny requests to certain unsafe ports 

31 http access deny deny keyword 

33 http access deny !Safe ports 

34 


[rootglinuxprobe ~]# systemctl restart squid 





HU) sta FEY e DUK ARE TET SES, — XE ESTE FE BU IH] SS 
中 的 代码 清理 干 准 ， 以 免 不 同 的 实验 之 间 产 生 冲 突 。 在 当前 的 
实验 中 ， 我 们 直接 定义 了 一 个 名 为 deny_keyword 的 别名 ， 然 后 
把 所 有 网 址 带 有 linux 关 键 词 的 网 站 请 求 统统 拒绝 挥 。 当 客户 端 
分 别 访问 融 有 linux 关 键 词 和 不 市 有 linux 关 键 词 的 网 站 时 ， 其 结 
果 如 图 16-9 所 示 。 














Æ HR 您 所 请 求 的 网 址 URL ) 无 法 获取 - Windows Internet Explorer Lele] x J 





G Q = A http://www.linuxprobe.com/ 
Ww sGék |e p BURY p) 网 页 快讯 库 了 
| 全 SR 您 所 请 求 的 网 址 ( URL) 无 法 获取 A- A-E 各 ”而 P)- keo IRO- @- 


ERROR 因为 包含 关键 词 linux， 所 以 又 被 拒绝 。 














@ 百度 一 下 ， 你 就 知道 - Windows Internet Explorer [| 全 





- QJ 图 https://www.baidu.com/ 
dr tae | d. el 召 X 网 站 居 网 页 快讯 库 了 
| 图 EEF. 你 就 知道 















Bai 百度 

















w 














@ Internet | 保护 模式 : 启用 


图 16-9” 当 客户 端 分 别 访问 带 有 linux 关 键 词 和 不 带 linux 关 键 词 
的 网 站 时 ， 所 呈现 的 结果 


实验 3: 禁止 所 有 客户 端 访问 某 个 特定 的 网 站 。 








在 实验 2 中 ， 由 于 我 们 茶 止 万 有 客户 问 访 问 网 址 中 包含 
linux 关 键 词 的 网 站 ， 这 将 造成 一 大 批 网 站 被 误 封 ， 从 而 影响 同 
事 们 的 正常 工作 。 其 实 通 过 禁止 客户 端 访 问 某 个 特定 的 网 址 ， 
也 残 吉 免 了 误 封 的 行为 。 下 面 按照 如 下 所 示 的 参数 配置 Squid 
服务 程序 并 重 局 ， 然 后 进行 测试 ， 其 测评 结果 如 网 16-10 所 
ZN o 





[root@linuxprobe ~]# vim /etc/squid/squid.conf 

24 acl Safe_ports port 777 # multiling http 

25 acl CONNECT method CONNECT 

26 acl deny url url regex http://www. linuxcool.com 

27 # 

28 # Recommended minimum Access Permission configurati 


on: 
29 # 

30 # Deny requests to certain unsafe ports 
31 http access deny deny url 

33 http access deny !Safe ports 
34 

[rootglinuxprobe ~]# systemctl restart squid 








[ É 《Linux 就 该 这 么 学 》 - 必 读 的 Linux 系 统 与 红 己 RHCE 认 证 免费 自学 书籍 - Windows Internet Explorer 
COW bd e http://www.linuxprobe.com/ 党 | +4 | x | r3 Bing Py | 
we tae | qs g 建议 网 站 BglUUUNEY 
a 《Linux 就 该 这 么 学 》 - - 必 读 的 Linux 系 统 与 红 幅 R.， 








免费 还 是 收费 ? 
《Linux 就 该 这 么 学 》 是 一 本 注重 实用 性 的 Linux 技 术 自 学 书籍 ， 自 基础 简 公布 后 日 常 阅读 县 已 经 超过 8000 多 人 (每 天 ) ， 以 后 基 
础 简 和 进 阶 简 都 将 会 一 如 既往 免费 完 瑚 的 坦 供 给 亲爱 的 读者 们 ， 并且 我 们 正在 全 球 各 地 部 寺 书 籍 的 济 像 站 京 ， 克 用 最 迅 径 的 访问 和 速 





we 收藏 夫 | g 建议 网 站 g) 网 页 快讯 库 了 
| ESR: 您 所 请 求 的 网 址 (URL) 无 法 获取 xz -A-O + REM 229~ IRO- @ ” 





“ The requested URL could not be retrieved 


当 党 试 职 回访 URL AES mA: http://www.linuxcool.com/ 
访问 被 拒绝 。 


Access control configuration prevents your request from being allowed at this time. Please contact your service 
provider if you feel this is incorrect. - 


@ Internet | 保护 模式 : 启用 fa ~ Q100% ~ 
图 16-10 “无 法 使 用 代理 服务 访问 这 个 特定 的 网 站 
实验 4: 禁止 员工 在 企业 网 内 部 下 载 带 有 某 些 后 级 的 文 














re 


TEE LPIA TB. ARA — IS a ACRIFH 4E ME E BE en HP 
ALA PERRI EDRR BRS ， 从 而 对 
其 他 同事 的 工作 效率 造成 影响 。 通 过 茶 止 所 有 用 户 访问 ,rar 





或 .avi 等 后 级 文件 的 请 求 ， 可 以 防止 他 们 继续 下 载 资源 ， 让 他 
们 知 难 而 退 。 下 面 按照 如 下 所 示 的 参数 配置 Squid 服 务 程序 并 
重启 ， 然 后 进行 测试 ， 其 测试 结果 如 图 16-11 所 示 。 








如 果 这 些 员工 是 使 用 迅雷 等 P2P 下 载 软 件 来 下 载 资 源 的 话 ， 就 只 能 
使 用 专业 级 的 应 用 防火 墙 来 禁止 了 。 








24 acl Safe ports port 777 # multiling http 

25 acl CONNECT method CONNECT 

26 acl badfile urlpath regex -i \.rar$ \.avi$ 

27 # 

28 # Recommended minimum Access Permission configurati 
on: 


29 # 


36 # Deny requests to certain unsafe ports 
31 http_access deny badfile 

33 http_access deny !Safe_ports 

34 

[root@linuxprobe ~]# systemctl restart squid 
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— =Z belnj 
@ (9- LI www.linuxprobe.com/book.ra p-e | ^ 错误 ; 您 所 请 求 的 网 址 ( UR... X | == A eae 8o2 
7" ERROR 
NOW: 


^ The requested URL could not be retrieved 





当 尝 试 取 回 该 URL ASE NAHE : http://wv 
访问 被 拒绝 。 


ww.linuxprobe.com/book.rar 





Access control configuration prevents your request from being allowed at this time. Please contact your service provider if you feel this is incorrect. 


SRSA SER root. | 














图 16-11 无 法 使 用 代理 服务 下 载 具 有 指定 后 级 的 文件 
16.3.3 ”透明 正 问 代理 


正 向 代理 服务 一 般 是 针对 企业 内 部 的 所 有 员工 设置 的 ， 鉴 
于 每 位 员工 所 和 治 握 的 计算 机 知识 不 尽 相 同 ， 如 果 您 所 在 的 公司 
不 是 开行 业 的 公司 ， 想 教会 大 家 如 何 使 用 代理 服务 也 不 是 一 件 
容易 的 事情 。 再 者 ， 无 论 是 什么 行业 的 公司 ， 公 司 领 导 都 希望 
能 采取 某 些 措施 限制 员工 在 公司 内 的 上 网 行为 ， 这 时 就 需要 用 
到 透明 的 正 癌 代理 模式 了 。 

















“透明 ”二 字 指 的 是 让 用 户 在 没有 感知 的 情况 下 使 用 代理 服 
务 ， 这 样 的 好 处 是 一 方面 不 需要 用 户 手 动 配 置 代理 服务 器 的 信 
恩 ， 进 而 降低 了 代理 服务 的 使 用 门槛 ， 夯 一 方面 也 可 以 更 隐秘 
地 监督 员工 的 上 网 行为 。 











在 透明 代理 模式 中 ， 用 户 无 须 在 浏览 器 或 其 他 软件 中 配置 
代理 服务 器 地 址 、 端 口号 等 信息 ， 而 是 由 DHCP 服 务 器 将 网 络 
配置 信息 分 配给 客户 端 主机 。 这 样 只 要 用 户 打开 浏览 器 便 会 自 
动 使 用 代理 服务 了 。 如 果 大 家 此 时 并 没有 配置 DHCP 服 务 器 ， 
可 以 像 如 图 16-12 所 示 来 手动 配置 客户 端 主 机 的 网 卡 参 数 。 

















© 自动 获得 IP 地 址 0) 
© 使 用 下 面 的 IP 地 址 (8): 
IP Hit q): 

F Ww: 

默认 了 网关 Q0 : 


自动 获得 DNS 服务 器 地 址 ®) 
© 使 用 下 面 的 DNS ARAZ E): 
首选 DNS 服务 器 ©): B. 


备用 DNS 服务 器 Q0: .114 .114 .114 

















退出 时 验证 设置 O 














图 16-12 ”配置 Windows 客 户 端的 网 络 信息 


为 了 避免 实验 之 间 互 相 影 响 ， 更 好 地 体验 透明 代理 技术 的 
效果 ， 我 们 需要 把 客户 端 浏 览 器 的 代理 信息 删除 〈 即 图 16-6 的 
操作 ) ， 然 后 再 刷新 页 面 ， 就 会 看 到 访问 任何 网 站 都 失败 了 ， 
如 图 16-13 所 示 。 


@ Internet Explorer 无 法 显示 该 网 页 - Windows Internet Explorer 
pee ees 
Windows 7 x64 





http://www.linuxprobe.com/ X | 好 | X | o Bing Last | 








wr GE | Ys E) 建议 网 站 g) 网 页 快讯 库 Y 
@ Internet Explorer 无 法 旺 示 该 网 页 Tho E) o0 d 9 Em. meo IRO 9- 





C) Internet Explorer 无 法 显示 该 网 页 


您 可 以 差 试 以 下 操作 : 
诊断 连接 问题 


© 更 多 信息 


图 16-13 ”停止 使 用 代理 服务 后 无 法 成 功 访 问 网 站 





有 些 时 候 会 因为 Windows 系 统 的 缓存 原因 导致 依然 能 看 到 网 页 内 
容 ， 这 时 可 以 换个 网 站 尝试 一 下 访问 效果 。 











既然 要 让 用 户 在 无 需 过 多 配置 系统 的 情况 下 就 能 使 用 代理 
服务 ， 作 为 运 维 人 员 束 必须 提前 将 网 络 配置 信息 与 数据 转发 功 
能 配置 好 。 前 面 已 经 配置 好 的 网 络 参数 ， 接 下 来 要 使 用 8.3.2 市 
介绍 的 SNAT 撤 术 完 成 数据 的 转发 ， 证 客户 端 主机 将 数据 交 给 
Squid 代 理 服务 右 ， 再 由 后 者 转 及 到 外 网 中 。 简 单 来 次 ， 就 是 
让 Squid 服 务 器 作为 一 个 中 间 人 ， 实 现 内 网 客户 端 主机 与 外 部 
网 络 之 间 的 数据 传输 。 




















由 于 当前 还 没有 部 署 SNAT 功 能 ， 因 此 当前 内 网 中 的 客户 
端 主机 是 不 能 访问 外 网 的 : 





C:\Users\linuxprobe>ping www. linuxprobe.com 
ping 请 求 找 不 到 主机 www.1Linuxprobe.com。 请 检查 该 名 称 ， 然 后 
S X. 





第 8 章 已 经 介绍 了 iptables 与 firewalld 防 火 墙 理论 知识 以 及 
集 略 规则 的 配置 方法 ， 大 家 可 以 任 选 其 中 一 款 完 成 接 下 来 的 实 
验 。 刘 甫 老师 觉得 frewalld 防 火 墙 实 在 太 简 单 了 ， 因 此 决定 使 
用 纯 命 令 行 的 iptables 防 火 墙 管理 工具 来 演示 部 署 方法 。 


























要 想 让 内 网 中 的 客户 端 主机 能 够 访问 外 网 ， 客 户 端 主机 首 
先 要 能 获取 到 DNS 地 址 解析 服务 的 数据 ， 这 样 才 能 在 互联 网 中 
找到 对 应 网 站 的 IP 地 址 。 下 面 通过 iptables 命 令 实现 DNS 地 址 解 
析 服 务 53 并 口 的 数据 转发 功能 ， 并 且 人 允许 Squid 服 务 器 转发 
IPv4 数 据 包 。sysctl -p 命 令 的 作用 是 让 转发 参数 立即 生效 : 


[root@linuxprobe ~]# iptables -F 

[root@linuxprobe ~]# iptables -t nat -A POSTROUTING -p 
udp --dport 53 -o 

eno33554968 -j MASQUERADE 


[root@linuxprobe ~]# echo "net.ipv4.ip forward-1" >> /e 
tc/sysctl.conf 

[root@linuxprobe ~]# sysctl -p 

net.ipv4.ip forward = 1 








现在 回 到 客户 端 主机 ， 再 次 ping 某 个 外 网 地 址 。 此 时 可 以 
发 现 ， 虽 然 不 能 连通 网 站 ， 但 是 此 时 已 经 能 够 获取 到 外 网 DNS 
服务 的 域名 解析 数据 。 这 个 步骤 非常 重要 ， 为 接 下 来 的 SNAT 





技术 打下 了 扎实 的 基础 。 


C:\Users\linuxprobe>ping www. linuxprobe.com 

正在 ping www. linuxprobe.com [116.31.127.233] HA 32 7 
市 的 数据 : 

请 求 超时 。 

请 求 超时 。 


请 求 超时 。 
请 求 超时 。 
116.31.127.233 的 ping 统 计 信息 : 
数据 包 : 已 发 送 = 4， 已 接收 = 0, EU = 4 (100% EK), 





与 配置 DNS 和 SNAT 技 术 转 发 相 比 ，Squid 服 务 程序 透明 代 
理 模式 的 配置 过 程 就 十 分 简单 了 ， 只 需要 在 主 配 置 文件 中 服务 
器 端口 号 后 面 追加 上 transparent 单 词 〈 意 思 为 “透明 的 >) ， 然 
后 把 第 62 行 的 井 号 〈#) 注释 符 删 除 ， 设 置 缓存 的 保存 路 径 束 
可 以 了 。 保 存 主 配 置 文件 并 退出 后 再 使 用 squid -k parse 命 令 检 
碍 主 配置 文件 是 否 有 错误 ， 以 及 使 用 squid -z 命 令 对 Squid 服 务 
程序 的 透明 代理 技术 进行 初始 化 。 



































[root@linuxprobe ~]# vim /etc/squid/squid.conf 

e 省 略 部 分 输出 信 sss 

58 # Squid normally listens to port 3128 

59 http_port 3128 transparent 

60 

61 # Uncomment and adjust the following to add a disk c 
ache directory. 

62 cache_dir ufs /var/spool/squid 100 16 256 

63 

ee 省 略 部 分 输出 信 sss 


[root@linuxprobe ~]# squid -k parse 
2017/04/13 06:40:44| Startup: Initializing Authenticati 


on Schemes ... 


2017/04/13 06:40:44| Startup: Initialized Authenticatio 
n Scheme 'basic' 
2017/04/13 06:40:44| Startup: Initialized Authenticatio 


n Scheme 'digest' 


2017/04/13 06:40:44| Startup: Initialized Authenticatio 
n Scheme 'negotiate' 

2017/04/13 06:40:44| Startup: Initialized Authenticatio 
n Scheme 'ntlm' 
2017/04/13 06:40:44| Startup: Initialized Authenticatio 


n. 
TERME: 省 略 部 分 输出 信息 .……… 
[ root@linuxprobe 


2017/04/13 06: 
ries 
2017/04/13 06: 
2017/04/13 06 
ool/squid/900 
2017/04/13 06 
ool/squid/01 
2017/04/13 06 
ool/squid/@2 
2017/04/13 66 
ool/squid/@3 
2017/04/13 06 
ool/squid/04 
2017/04/13 06 
ool/squid/05 
2017/04/13 06 
ool/squid/@6 
2017/04/13 06 
ool/squid/07 
2017/04/13 06 
ool/squid/08 


4T: 


41 


:41: 


:41: 


:41: 


:41 


:41: 


:41: 


:41: 


:41: 


~]# squid -z 
26 kid1| Creating missing swap directo 


:26 kid1| /var/spool/squid exists 
:41: 


26 kid1| Making directories in /var/sp 
26 kid1| Making directories in /var/sp 
26 kid1| Making directories in /var/sp 


26 kid1| Making directories in /var/sp 


:26 kid1| Making directories in /var/sp 


26 kid1| Making directories in /var/sp 
26 kid1| Making directories in /var/sp 
26 kid1| Making directories in /var/sp 


26 kid1| Making directories in /var/sp 


2017/04/13 06:41:26 kid1| Making directories in /var/sp 
ool/squid/09 

2017/04/13 06:41:26 kid1| Making directories in /var/sp 
ool/squid/0A 

2017/04/13 06:41:26 kid1| Making directories in /var/sp 
ool/squid/0B 

2017/04/13 06:41:26 kid1| Making directories in /var/sp 
ool/squid/@C 

2017/04/13 06:41:26 kid1| Making directories in /var/sp 
ool/squid/@D 

2017/04/13 06:41:26 kid1| Making directories in /var/sp 
ool/squid/OE 

2017/04/13 06:41:26 kidi| Making directories in /var/sp 
ool/squid/0F 

[rootglinuxprobe ~]# systemctl restart squid 





在 配置 妥当 并 重启 Squid 服 务 程序 且 系 统 没有 提示 报错 信 
息 后 ， 接 下 来 就 可 以 完成 SNAT 数 据 转发 功能 了 。 它 的 原理 其 
实 很 简单 ， 就 是 使 用 iptables 防 火 墙 管 理 命令 把 所有 客户 端 主 机 
对 网 站 80 端 口 的 请 求 转发 至 Squid 服 务 器 本 地 的 3128 端 口上 。 
SNAT 数 据 转发 功能 的 具体 配置 参数 如 下 。 





[root@linuxprobe ~]# iptables -t nat -A PREROUTING -p 
tcp -m tcp --dport 8@ -j 

REDIRECT --to-ports 3128 

[root@linuxprobe ~]# iptables -t nat -A POSTROUTING -s 
192.168.10.0/24 - 


O eno33554968 -j SNAT --to 您 的 桥接 网 卡 IP 地 址 
[root@linuxprobe ~]# service iptables save 

iptables: Saving firewall rules to /etc/sysconfig/iptab 
les:[ OK ] 





这 时 客户 端 主机 再 刷新 一 下 浏览 器 ， 就 又 能 访问 网 络 了 ， 
如 图 16-14 所 示 。 


@ {Linux 就 该 这 么 学 》 - 必 读 的 Linux 系 统 与 红 收 认证 自学 手册 - Windows Internet Explorer a 
OO- | http:/ /wwlinuxprobe.com >| | x | [IB Bing p | 
SH) SSE) EEV PERA IAM 。 帮助 (H) 

w tae | s el BWR e€) 网 页 快讯 库 

® 《Linux 就 该 这 么 学 》 - 必 读 的 Linux 系 统 与 红 幅 .… A- M+ m+ AE 安全 (S) IAO Ov 











网 站 首页 mig ”交流 社区 软件 资源 库 HAA, Ke Stat. 
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8168 使 用 iSCSI 服 务 部 畦 网络 存 售 . 
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现在 肯定 有 读者 在 想 ， 如 果 开 启 了 SNAT 功 能 ， 数 据 不 就 
直接 被 转发 到 外 网 了 么 ”内 网 中 的 客户 端 主机 是 否 还 依然 使 用 
Squid 服 务 程序 提供 的 代理 服务 呢 ?” 其 实 ， 只 要 仔细 看 一 下 
iptables 防 火 寺 命 令 就 会 发 现 ， 刘 过 老师 刚才 并 不 是 单纯 地 开局 
了 SNAT 功 能 ， 而 是 通过 把 客户 端 主 机 访问 外 网 80 端 口 的 请 求 
转发 到 Squid 服 务 器 的 3128 端 口号 上 ， 从 而 还 是 强制 客户 端 主 
机 必须 通过 Squid 服 务 程 序 来 上 网 。 为 了 验证 这 个 说 法 ， 我 们 
编辑 Squid 服 务 程 序 的 配置 文件 ， 单 独 禁 止 本 书 的 配套 站 点 

Chttp://www.linuxprobe.com/) ， 然 后 再 次 刷新 客户 病 主 机 的 














浏览 器 ， 发 现 网 页 又 被 禁止 显示 了 ， 如 图 16-15 所 示 。 


Æ iR: 您 所 请 求 的 网 址 URL) 无 法 获取 - Windows Internet Explore 





偷 > - Cod - Rey 安全 (S) ” 工具 (O) > Q- ” 


BX OW 
ay The requested URL could not be retrieved 





4S ie ph URL heel MARE: http://www.linuxprobe.com/ 
访问 被 拒绝 。 


Access control configuration prevents your request from being allowed at this time. Please contact your service provider 
if you feel this is incorrect. 


绥 存 服务 器 的 管理 员 root. 





Zå localhost.localdomain (squid/3.3.8) € Fri, 14 Apr 2017 05:42:43 GMT 





@ Internet | 保护 模式 : 启用 


图 16-15 ”客户 端 主机 再 次 无 法 访问 网 络 





16.4 ”反问 代理 





网 站 页 面 是 由 病态 资源 和 动态 资源 一 起 组 成 的 ， 其 中 静态 
资源 包括 网 站 架构 CSS 文 件 、 大 量 的 图 片 、 视 频 等 数据 ， 这 些 
数据 相对 于 动态 资源 来 说 更 加 稳定 ， 一 般 不 会 经 常 友 生 改 变 。 
但 是 ， 随 看 建站 技术 的 更 新 换代 ， 外 加 入 们 不 断 提升 的 审美 能 
力 ， 这 些 脐 态 资 源 占据 的 网 站 空间 越 来 越 多 。 如 果 能 够 把 这 些 
静态 资源 从 网 站 页 面 中 抽 离 出 去 ， 然 后 在 全 国 各 地 部 车 静态 资 
源 的 缓存 节点 ， 这 样 不 仅 可 以 提升 用 户 访问 网 站 的 速度 ， 而 且 
网 站 源 服务 器 也 会 因为 这 些 缓存 节点 的 存在 而 降低 负载 。 


















































反问 代理 是 Squid 服 务 程 序 的 一 种 重要 模式 ， 其 原理 是 把 
一 部 分 原本 向 网 站 源 服 务 占 发 起 的 用 户 请 求 交 给 Squid 服 务 器 
缓存 节 点 来 处 理 。 但 是 这 种 技术 的 弊端 也 很 明显 ， 如 果 有 心怀 
不 轨 之 徒 将 自己 的 域名 和 服务 器 反问 代理 到 某 个 知名 的 网 站 上 
面 ， 从 理论 上 来 讲 ， 当 用 户 访问 到 这 个 域名 时 ， 也 会 看 到 与 那 
个 知名 网 站 一 样 的 内 容 《有些 诈骗 网 站 就 是 这 样 骗取 用 户 信任 
的 ) 。 因 此 ， 当 前 许多 网 站 都 默认 禁止 了 反问 代理 功能 。 开 启 
了 CDN (内 容 分 发 网 络 ) 服务 的 网 站 也 可 以 避免 这 种 镭 取 行 
为 。 如 果 访 问 开启 了 防护 功能 的 网 站 ， 一 般 会 看 到 如 图 16-16 
所 示 的 报错 信息 。 
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nginx 


图 16-16 访问 网 站 时 提示 报错 信息 


刘 毅 老师 为 了 实验 需要 而 临时 关闭 了 本 书 配套 站 点 的 CDN 服 务 及 
防护 插件 ， 请 大 家 尽量 选择 用 自己 的 网 站 或 博客 进行 该 实验 操作 ， 避 
影响 到 其 他 网 站 的 正常 运转 ， 给 他 人 造成 肪 烦 。 











使 用 Squid 服 务 程序 来 配置 反 辐 代理 服务 非 党 简单。 首先 
找到 一 个 网 站 源 服务 器 的 IP 地 址 ， 然 后 编辑 Squid 服 务 程序 的 
主 配 置 文 件 ， 把 病 口 号 3128 修 改 为 网 站 源 服务 强 的 地 址 和 病 口 
号 ， 此 时 正 加 解析 服务 会 被 特 停 〈 它 不 能 与 反 同 代理 服务 同时 
使 用 ) 。 然 后 按照 下 面 的 参数 形式 写 入 需要 反问 代理 的 网 站 源 

















服务 器 的 IP 地 址 信息 ， 保 存 退 出 后 重启 Squid 服 务 程 序 。 正 常 
网 站 使 用 反问 代理 服务 的 效果 如 图 16-17 所 示 。 


[root@linuxprobe ~]# vim /etc/squid/squid.conf 


省 略 部 分 输出 信息 


58 # Squid normally listens to port 3128 
59 http port 您 的 桥接 网 卡 IP 地 址 :8@ vhost 


60 cache peer 网 站 源 服务 器 IP 地 址 parent 80 © originserver 
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红 帽 RHEL7 系 统 的 《Linux 电子 版 书籍 入 本 目前 保守 六 it BH RI 电线 二 万 人 次 ， 创办 至 今 关 注 人 
气 增幅 速度 稳 居 中 国 第 一 , 目 发 布 ， 但 已 成 为 中 国 第 二 旺销 的 Linux 电 子 书籍 。 E) E 
实用 性 的 Linux 技 术 自学 书籍 , 自 阅读 量 每 天 ) ， 书 条 从 起 步 

















各 章节 累计 修订 次 数 直 Th 是 国内 质 极 高 的 Linux 自 学 书 已 在 百度 知道 
如 此 , 本 团队 长 期 拥有 四 十 良 微 博 、 今 日 头条 、 搜 狐 公众 平台 、 新 
看 点 、 博 客 园 、 开 源 q 下 在 与 CNbeta、Linux 中 国 、Centos 中 文 站 


计 被 国内 外 主流 门户 媒体 报道 超过 
的 读者 用 户 群体 ， 累 计 培训 3 余人 ，RHCE 通 过 率 达 到 


红 联 Lin linux 伊 名 园 
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图 16-17 ”使 用 反问 代理 模式 访问 网 站 


F A 





1. 简 述 Squid 服 务 程序 提供 的 正 癌 代理 服务 的 主要 作用 。 





A. 实现 代理 上 网 、 隐 藏 用 户 的 真实 访问 信息 以 及 对 控制 
用 户 访问 网 站 行为 的 访问 控制 列表 〈ACL) 进行 限制 。 





2. 人 简 述 Squid 服 务 程 序 提供 的 反 辣 代理 服务 的 主要 作用 。 





: 加 快 用 户 访 问 网 站 的 速度 ， 降 低 网 站 源 服务 器 的 负载 
EA. 


3. Squid 服 务 程 序 能 够 提供 的 代理 模式 有 哪些 ? 


答 : 正 向 代理 模式 与 反 向 代理 模式 ， 其 中 正 向 代理 模式 又 
分 为 标准 正 回 代理 模式 与 透明 正 癌 代理 模式 。 


4. 标准 正 回 代理 模式 与 透明 正 辣 代理 模式 的 区 别 是 什 


AA? 








A: DOmWEH HC m 2A RS auf d. dE 
用 透明 代理 模式 ， 则 用 户 感知 不 到 代理 服务 的 存在 。 

















5. 使 用 Squid 服 务 ae ee 
FED W ae PC EL ES fi 


答 : 需要 填写 Squid 服 务 器 的 耳 地 址 及 端口 号 信息 。 





6. 后 需要 通过 ACL 功 能 限制 用 户 不 能 使 用 代理 服务 访问 
指定 网 站 ， 参 数 该 怎么 写 ? 


A. 以 本 书 的 配套 学 习 站 点 (www.linuxprobe.com) 为 
例 ， 可 使 用 参数 “acl deny_url url_regex 
http://www.linuxprobe.com” 和 “http_access deny deny_url” 441 
用 户 访 问 这 个 指定 的 网 站 。 


7. 若 让 客户 端 主机 使 用 透明 正 辐 代 理 模式 ， 则 需要 用 
DHCP 服 务 嚣 为 客户 端 主机 分 配 什么 信息 ? 





答 : 需要 为 客户 端 主机 分 配 IP 地 址 、 子 网 掩 码 、 网 关 地 址 
以 及 外 部 DNS 服 务 嚣 地址 。 


第 17 章 ”使 用 iSCSI 服 务 部 署 网 络 存 储 








iSCSI 技 术 概 述 ; 
。 创建 RAID 磁 盘 阵 列 ; 
。 配置 iSCSI 服务 端 ; 
。 配 置 Linux 客 户 端 ; 


配置 Windows 客 户 端 。 





本 章 开 篇 介绍 了 计算 机 硬件 存储 设备 的 不 同 接口 技术 的 优 
缺点 ， 并 由 此 切入 iSCSI 技术 主题 的 讲解 。iSCSI 技 术 实 现 了 物 





理 硬 盘 设 备 与 TCP/P 网 络 协议 的 相互 结合 ， 使 得 用 户 可 以 通过 
互联 网 方便 地 访问 远程 机 房 提 供 的 共享 存储 资源 。 本 章 将 带领 
大 家 在 Linux 系 统 上 部 署 1SCSI 服 务 端 程序 ， 并 分 别 基 于 Linux 
系统 和 Windows 系 统 来 访问 远程 的 存储 资源 。 通 过 本 章 以 及 第 
6 章 、 第 7 章 的 学 习 ， 读 者 将 进一步 理解 和 掌握 如 何在 Linux 系 
统 中 管理 便 盘 设备 和 存储 资源 ， 为 今后 走 同 运营 岗位 打下 坚实 
的 基础 。 




















17.4 iSCSI 技术 概述 


硬盘 是 计算 机 硬件 设备 中 重要 的 组 成 部 分 之 一 ， 硬 盘存 储 
设备 读 写 速度 的 快慢 也 会 对 服务 器 的 整体 性 能 造成 影响 。 第 6 
章 、 第 7 章 讲解 的 硬盘 存储 结构 、RAID 人 磁盘 阵列 技术 以 及 
LVM 技 术 等 都 是 用 于 存储 设备 的 技术 ， 尽 管 这 些 技 术 有 软件 
层面 和 硬件 层面 之 分 ， 但 是 它们 都 则 在 解决 便 盘 存储 设备 的 读 
写 速度 问题 ， 或 者 竭力 保障 存储 数据 的 安全 。 




















为 了 进一步 提升 硬盘 存储 设备 的 读 写 速度 和 性 能 ， 人 们 一 
直 在 努力 改进 物理 硬盘 设备 的 接口 协议 。 当 前 的 硬盘 接口 类 型 
主要 有 IDE、SCSI 和 SATA 这 3 种 。 





。IDE 是 一 种 成 熟 稳 定 、 价 格 便宜 的 并 行 传输 接口 。 

。SATA 是 一 种 传输 速度 更 快 、 数 据 校 验 更 完整 的 串 行 传输 
接口 。 

。SCSI 是 一 种 用 于 计算 机 和 硬盘 、 光 驱 等 设备 之 间 系 统 级 接 
口 的 通用 标准 ， 有 具有 系统 资源 占用 率 低 、 转 速 高 、 传 输 速 
度 快 等 优点 。 





不 论 使 用 什么 类 型 的 硬盘 接口 ， 硬 盘 上 的 数据 总 是 要 通过 
计算 机 主板 上 的 总 线 与 CPU、 内 存 设备 进行 数据 交换 ， 这 种 物 
理 环 境 上 的 限制 给 人 硬盘 资源 的 共 至 带 来 了 各 种 不 便 。 后 来 ， 








IBM 公 司 开 始 动手 研发 基于 TCP/IP 协 议和 SCSI 接 口 协议 的 新 型 
存储 技术 ， 这 也 就 是 我 们 目前 能 看 到 的 互联 网 小 型 计算 机 系统 
接口 iSCSI, Internet Small Computer System Interface) . iX 
是 一 种 将 SCSI 接 口 与 以 太 网 技术 相 结合 的 新 型 存储 技术 ， 可 以 
用 来 在 网 络 中 传输 SCSI 接 口 的 命令 和 数据 。 这 样 ， 不 仅 殉 服 了 
传统 SCSI 接 口 设 备 的 物理 局 限 性 ， 实 现 了 路 区 域 的 存储 资源 共 
享 ， 还 可 以 在 不 俘 机 的 状态 下 扩展 存储 容量 。 


为 了 让 各 位 读者 做 到 知 其 然 ， 知 其 所 以 然 ， 以 便 在 工作 中 
灵活 使 用 这 项 技术 ， 下 面 将 讲解 一 人 iSCSI 技术 在 生产 环境 中 
的 优势 和 人 劣势。 首先 ，iSCSI 存 储 技术 非常 便捷 ， 在 访问 存储 
资源 的 形式 上 发 生 了 很 大 变化 ， 摆 脱 了 物理 环境 的 限制 ， 同 时 
还 可 以 把 存储 资源 分 给 多 个 服务 器 共同 使 用 ， 因 此 是 一 种 非常 
推荐 使 用 的 存储 技术 。 但 是 ，iSCSI 存 储 技术 受到 了 网 速 的 制 
约 。 以 往 ， 硬 盘 设 备 直接 通过 主板 上 的 总 线 进行 数据 传输 ， 现 
在 则 需要 让 互联 网 作为 数据 传输 的 载体 和 通道 ， 因 此 传输 速率 
和 稳定 性 是 iSCSI 技术 的 瓶颈 。 随 着 网 络 技术 的 持续 发 展 ， 相 
言 SCSI 技 术 也 会 随 之 得 以 改善 。 























既然 要 通过 以 太 网 来 传输 硬盘 设备 上 的 数据 ， 那 么 数据 是 
通过 网 卡 传 入 到 计算 机 中 的 么 ? 这 就 有 必要 向 大 家 介绍 iSCSI- 
HBA 卡 了 《 见 图 17-1) 。 与 一 般 的 网 卡 不 同 《〈 连 接 网 络 总 线 和 
内 存 ， 供 计算 机 上 网 使 用 ) ，iSCSI-HBA 卡 连接 的 则 是 SCSI 接 


口 或 FC (光纤 通道 ) 总 线 和 内 存 ， 专 门 用 于 在 主机 之 间 交 换 
存储 数据 ， 其 使 用 的 协议 也 与 一 般 网 卡 有 本 质 的 不 同 。 运 行 
Linux 系 统 的 服务 器 会 基于 iSCSI 协议 把 硬盘 设备 命令 与 数据 打 
包 成 标准 的 TCP/IP 数 据 包 ， 然 后 通过 以 太 网 传输 到 目标 存储 设 
备 ， 而 当 目 标 存储 设备 接收 到 这 些 数据 包 后 ， 还 需要 基于 
iSCSI 协议 把 TCP/P 数 据 包 解 压 成 硬盘 设备 命令 与 数据 。 

















图 17-1 iSCSI-HBA 卡 实 拍 图 


17.2 ”创建 RAID 磁 盘 阵 列 











既然 要 使 用 iSCSI 存储 技术 为 远程 用 户 提供 共享 存储 资 

源 ， 首 先 要 保障 用 于 存放 资源 的 服务 器 的 稳定 性 与 可 用 性 ， 否 
则 一 旦 在 使 用 过 程 中 出 现 故 障 ， 则 维护 的 难度 相 较 于 本 地 人 硬盘 
设备 要 更 加 复杂 、 困 难 。 因 此 推荐 各 位 读者 按照 本 书 第 7 章 讲 
解 的 知识 来 部 署 RAID 磁 盘 阵 列 组 ， 确 保 数据 的 安全 性 。 下 面 
以 配置 RAID 5 磁盘 阵列 组 为 例 进行 讲解 。 考 虑 到 第 7 章 已 经 事 
无 巨细 地 讲解 了 RAID 磁 盘 阵 列 技术 和 配置 方法 ， 因 此 本 节 不 
会 再 重复 介绍 相关 参数 的 意义 以 及 用 途 ， 瑟 记 了 的 读者 可 以 翻 
回去 看 一 下 。 























首先 在 虚拟 机 中 添加 4 块 新 硬盘 ， 用 于 创建 RAID 5 磁盘 阵 
列 和 备份 盘 ， 如 图 17-2 所 示 。 








AF 
指定 分 配给 此 虚拟 机 的 内 存量 。 内 存 大 小 必须 为 4 MB 
Rife e 


| Bwa(scsy 此 虚拟 机 的 内 存 {M): 2048 — MB 

ee 2 (SCSI) 

各 硬盘 3 (SCSI) 

| 2 SE 4 (SCSI) 3GB 

Cows (SCSI) 26 CJ 4 

^9CD/DVD (SATA) 。 正在 使 用 文件 DEA RHEL-server-... 

| Brees RENE = 4 B 最 大 建议 内 存 

Sets 自动 检测 AUR 
6280 MB 





B 建议 内 存 
2048 MB 


建议 的 最 小 客户 机 操作 系统 内 存 
1024 MB 


dy 凡 而 先 关闭 虚拟 机 ， 才 能 降低 内 存 里 。 


dj 虚拟 机 最 多 将 此 内 存 的 768 MB 用 作 图 形 内 存 。 您 可 以 
|o PERS VRRP Ee 








(ar J| ma J[ ab 











图 17-2 ”添加 4 块 用 于 创建 RAID 5 级 别 磁盘 阵列 的 新 硬盘 


启动 虚拟 机 系统 ， 使 用 mdadm 命 令 创 建 RAID 磁 盘 阵 列 。 
其 中 ，-Cv 参 数 为 创建 阵列 并 显示 过 程 ，/dewmd0 为 生成 的 阵 
列 组 名 称 ，-n 3 参数 为 创建 RAID 5 磁盘 阵列 所 需 的 硬盘 个 数 ，- 
1 5 参数 为 RAID 人 磁盘 阵列 的 级 别 ，-x 1 参数 为 磁盘 阵列 的 备份 盘 
个 数 。 在 命令 后 面 要 逐一 写 上 使 用 的 硬盘 名 称 。 另 外 ， 还 可 以 
使 用 第 3 章 讲解 的 通配符 来 指定 硬盘 设备 的 名 称 ， 有 兴趣 的 读 


者 可 以 试 一 下 。 


[root@linuxprobe ~]# mdadm -Cv /dev/md@ -n 3 -1 5 -x 1 
/dev/sdb /dev/sdc /dev/ 

sdd /dev/sde 

mdadm: layout defaults to left-symmetric 


mdadm: layout defaults to left-symmetric 
mdadm: chunk size defaults to 512K 

mdadm: size set to 20954624K 

mdadm: Defaulting to version 1.2 metadata 
mdadm: array /dev/md@ started. 








在 上 述 命令 成 功 执行 之 后 ， 得 到 一 块 名 称 为 /devmd0 的 新 
设备 ， 这 是 一 块 RAID 5 级 别 的 磁盘 阵列 ， 并 且 还 有 一 块 备份 
盘 为 便 盘 数据 保 概 护航 。 大 家 可 使 用 mdadm -DME REE 
备 的 详细 信息 。 另 外 ， 由 于 在 使 用 远程 设备 时 极 有 可 能 出 现 设 
备 识 别 顺 序 发 生变 化 的 情况 ， 因 此 ， 如 果 直 接 在 fstab 挂 载 配置 
文件 中 写 入 /devsdb、/dev/sdc 等 设备 名 称 的 话 ， 就 有 可 能 在 下 
一 次 挂 载 了 错误 的 存储 设备 。 而 UUID 值 是 设备 的 唯一 标识 
符 ， 可 以 用 于 精确 地 区 分 本 地 或 远程 设备 。 于 是 我 们 可 以 把 这 
个 值 记 录 下 来 ， 一 会 儿 准 备 填写 到 挂 载 配 置 文件 中 。 








[root@linuxprobe ~]# mdadm -D /dev/mde 
/dev/mde: 
Version : 1.2 
Creation Time : Thu Sep 24 21:59:57 2017 
Raid Level : raid5 
Array Size : 41909248 (39.97 GiB 42.92 GB) 
Used Dev Size : 20954624 (19.98 GiB 21.46 GB) 


Raid Devices 
Total Devices 
Persistence 
Update Time 


Active Devices 
Working Devices 
Failed Devices 
Spare Devices 
Layout 


Chunk Size : 
Name : 


xprobe.com) 


UUID : 
: 26 
Major 


Events 
Number 
0 
dev/sdb 
1 
dev/sdc 
4 
dev/sdd 
3 


$23 

: 4 

: Superblock is persistent 
: Thu Sep 24 22:02:23 2017 
State : 
7-3 

: 4 

: © 

Zol 

: left-symmetric 


clean 


512K 
linuxprobe.com:0 


(local to host linu 
3370f643:c10efd6a:44e91f2a:20c71f3e 


Minor RaidDevice State 


16 0 active sync / 
32 1 active sync / 
48 2 active sync / 
64 - spare /dev/sde 





17.3 ”配置 iSCSI 服务 端 


iSCSI 技术 在 工作 形式 上 分 为 服务 端 (target) 与 客户 端 
(initiator) 。iSCSI 服 务 端 即 用 于 存放 硬盘 存储 资源 的 服务 
器 ， 它 作为 前 面 创建 的 RAID 磁 盘 阵 列 的 存储 端 ， 能 够 为 用 户 
提供 可 用 的 存储 资源 。iSCSI 客 户 端 则 是 用 户 使 用 的 软件 ， 用 
于 访问 远程 服务 端的 存储 资源 。 下 面 按照 表 17-1 来 配置 iSCSI 
服务 端 和 客户 端 所 用 的 IP 地 址 。 











表 17-1 ” iSCSI 服务 端 和 客户 并 的 操作 系统 以 及 IP 地 址 


主机 名 称 操作 系统 IP 地 址 





iSCSI 客户 端 RHEL 7 192.168.10.20 


第 1 步 : MEY Yumi EJE iSCSI mE AK 
配置 命令 工具 。 通 过 在 yum 命 令 的 后 面 添 加 -y 参 数 ， 在 安装 过 
程 中 就 不 需要 再 进行 手动 确认 了 : 











[root@linuxprobe ~]# yum -y install targetd targetcli 
Loaded plugins: langpacks, product-id, subscription-man 


Accu 省 略 部 分 输出 信 sss 
Installing: 


targetcli noarch 2.1.fb34-1.e17 rhel 55 k 

targetd noarch 0.7.1-1.e17 rhel 48 k 

Installing for dependencies: 

PyYAML x86 64 3.10-11.e17 rhel 153 k 

libyaml x86 64 0.1.4-10.e17 rhel 55 k 
lvm2-python-libs x86 64 7:2.02.105-14.e17 rhel 153 k 
pyparsing noarch 1.5.6-9.e17 rhel 94 k 
python-configshell noarch 1:1.1.fb11-3.e17 rhel 64 k 
python-kmod x86 64 0.9-4.e17 rhel 57 k 

python-rtslib noarch 2.1.fb46-1.e17 rhel 75 k 
python-setproctitle x86 64 1.1.6-5.e17 rhel 15 k 
python-urwid x86 64 1.1.1-3.e17 rhel 654 k 

ee 省 略 部 分 输出 信息 .………… 

Installed: 

targetcli.noarch 0:2.1.fb34-1.e17 targetd.noarch 0:0.7 
.1-1.e17 

Dependency Installed: 

PyYAML.x86 64 0:3.10-11.e17 

libyaml.x86 64 0:0.1.4-10.e17 
lvm2-python-libs.x86 64 7:2.02.105-14.e17 
pyparsing.noarch 0:1.5.6-9.e17 
python-configshell.noarch 1:1.1.fb11-3.e17 
python-kmod.x86 64 0:0.9-4.e17 

python-rtslib.noarch 0:2.1.fb46-1.e17 
python-setproctitle.x86 64 0:1.1.6-5.e17 
python-urwid.x86 64 0:1.1.1-3.e17 

Complete! 





安装 完成 后 局 动 iSCSI 的 服务 端 程序 targetd， 然 后 把 这 个 服 
务 程序 加 入 到 开机 局 动 项 中 ， 以 便 下 次 在 服务 器 重启 后 依然 能 





够 为 用 户 提供 iSCSI 共 享 存 储 资源 服务 : 


[root@linuxprobe ~]# systemctl start targetd 
[root@linuxprobe ~]# systemctl enable targetd 


In -s '/usr/lib/systemd/system/targetd.service' '/etc/s 
ystemd/system/multi-user. 
target.wants/targetd.service' 





第 2 步 : 配置 iSCSI 服务 端 共 享 资源 。targetcli 是 用 于 管理 
iSCSI 服务 端 存储 资源 的 专用 配置 命令 ， 它 能 够 提供 类 似 于 
fdisk 命 令 的 交互 式 配 置 功能 ， 将 iSCSI 共享 资源 的 配置 内 容 抽 
象 成 < 目录 ”的 形式 ， 我 们 只 需 将 各 类 配置 信息 填 入 到 相应 
的 “目录 ”中 即 可 。 这 里 的 难点 主要 在 于 认识 每 个 “参数 目录 ”的 
作用 。 当 把 配置 参数 正确 地 填写 到 “目录 ”中 后 ，iSCSI 服 务 端 
也 可 以 提供 共享 资源 服务 了 。 














在 执行 targetcli 命 令 后 就 能 看 到 交互 式 的 配置 界面 了 。 在 
该 界面 中 可 以 使 用 很 多 Linux 命 令 ， 比 如 利用 1s 簿 看 目录 参数 的 
结构 ， 使 用 cd 切换 到 不 同 的 目录 中 。/backstores/block 是 iSCSI 
服务 端 配 置 共享 设备 的 位 置 。 我 们 需要 把 刚刚 创建 的 RAID 5 
磁盘 阵列 md0 文 件 加 入 到 配置 共享 设备 的 “资源 池 ” 中 ， 并 将 该 
文件 重新 命名 为 disk0， 这 样 用 户 束 不 会 知道 是 由 服务 器 中 的 
哪 块 硬盘 来 提供 共享 存储 资源 ， 而 只 会 看 到 一 个 名 为 disk0 的 
存储 设备 。 























[root@linuxprobe ~]# targetcli 

Warning: Could not load preferences file /root/.targetc 
li/prefs.bin. 

targetcli shell version 2.1.fb34 

Copyright 2011-2013 by Datera, Inc and others. 

For help on commands, type 'help'. 

/» ls 


Mose DIOE Su ds eed e deo o Mae US Ae aed i UM ooo. d 
[Storage Objects: 0] 
| 
[Storage Objects: 60] 
由 
[Storage Objects: 0] 

los “FAME TSK wa a e SEPT E eese 
[Storage Objects: 60] 

癌症 SS 
ea gabe [Targets: 0] 

Os 160DDack 09a eee cu dee steep réside ae eee 
—— [Targets: 0 

/» cd /backstores/block 

/backstores/block» create disk@ /dev/mdO 

Created block storage object disk0 using /dev/mde. 

/backstores/block» cd / 


/> Is 
© Jed a AR BR IE TRAE ERs ES eia CN D 
SERA RR ORCI E e E [e 
O= DadctkstOles sno So ate SHES Swe ORDER EAR 
————— [esa] 
有 


。 [Storage Objects: 1] 
NIE E. CE T PI [/dev/md@ (40.0GiB) w 


rite-thru deactivated] 


人 
。 [Storage Objects: 0] 

全 
。 [Storage Objects: 0] 

LO 
。 [Storage Objects: 0] 

Ds I1S6ST. Sa adres E ae pecu aoa pa ded eee des dab dg m Rud 
Ge aa [Targets: 0] 

0= loopback Se ee kp va ea RR ed e oe aee ee Pe 
Loveseats [Targets: 0] 








第 3 步 : 创建 iSCSI target 名 称 及 配置 共享 资源 。iSCSI 
target 名 称 是 由 系统 自动 生成 的 ， 这 是 一 串 用 于 描述 共享 资源 
的 唯一 字符 串 。 稍 后 用 户 在 扫描 iSCSI 服 务 端 时 即 可 看 到 这 个 
字符 串 ， 因 此 我 们 不 需要 记 住 它 。 系 统 在 生成 这 个 target 名 称 





后 ， 还 会 在 /iscsi 参 数目 录 中 创建 一 个 与 其 字符 串 同 名 的 新 “ 目 
录 ” 用 来 存放 共有 至 资源 。 我 们 需要 把 前 面 加 入 到 iSCSI 共 至 资源 
池 中 的 硬盘 设备 添加 到 这 个 新 目录 中 ， 这 样 用 户 在 登录 iSCSI 
服务 端 后 ， 即 可 默认 使 用 这 人 硬盘 设备 提供 的 共 胖 存储 资源 了 。 











/> cd iscsi 

/iscsi> 

/iscsi> create 

Created target iqn.2003-01.org.linux-iscsi.linuxprobe.x 
8664:sn.d497c356ad80. 

Created TPG 1. 

/iscsi» cd iqn.2003-01.0rg.linux-iscsi.linuxprobe.x8664 
:sn.d497c356ad80/ 

/iscsi/iqn.20....d497c356ad80» Is 


o- iqn.2003-01.0rg.linux-iscsi.linuxprobe.x8664:sn.d497 


c356ad80 .... [TPGs: 1] 
DS" Cpe L ue ace ed oe nk es IE E ERE Rn is aoe arae Rode e i Mop EM 
[no-gen-acls, no-auth] 
OS ACIS: ,oe ee E E EE E EE E a a a E 
errr er eee s [ACLs: 0] 
Om RUNS: us pac ede et db Soh ae ere a NR ra a ain 
ESRPEEN Ex [LUNs: 0] 


OF DOPLals 225 e Siew ea WE PURGE SOR RC Te ce en n RR o Oo 
eres ee [Portals: 0] 
/iscsi/iqn.20....d497c356ad80» cd tpg1/luns 
/iscsi/iqn.20...d80/tpg1/luns» create /backstores/block 
/disk@ 
Created LUN 6. 





第 4 步 : 设置 访问 控制 列表 (ACL) 。iSCSI 协 议 是 通过 客 
户 端 名 称 进 行 验证 的 ， 也 就 是 说 ， 用 户 在 访问 存储 共享 资源 时 
不 需要 输入 密码 ， 只 要 iSCSI 客户 端的 名 称 与 服务 端 中 设置 的 
访问 控制 列表 中 某 一 名 称 条 目 一 致 即 可 ， 因 此 需要 在 iSCSI 服 
务 端的 配置 文件 中 写 入 一 串 能 够 验证 用 户 信息 的 名 称 。acls 参 
数目 录用 于 存放 能 够 访问 iSCSI 服务 端 共享 存储 资源 的 客户 端 
名 称 。 刘 遂 老 师 推 荐 在 刚刚 系统 生成 的 iSCSI target 后 面 追加 上 
类 似 于 :client 的 参数 ， 这 样 既 能 保证 客户 端的 名 称 具 有 唯一 
性 ， 又 非常 便于 管理 和 阅读 : 
































/iscsi/iqn.20...d80/tpg1/luns» cd .. 
/iscsi/iqn.20...c356ad80/tpg1» cd acls 
/iscsi/iqn.20...d80/tpg1/acls» create iqn.2003-01.0rg.1l 
inux-iscsi.linuxprobe. 

x8664:sn.d497c356ad80: client 


Created Node ACL for iqn.2003-01.0rg.linux-iscsi.linuxp 
robe.x8664:sn.d497c356ad80: 
client 


Created mapped LUN 6. 





第 5 步 : 设置 iSCSI 服务 端的 监听 了 地 址 和 端口 号 。 位 于 生 
产 环境 中 的 服务 器 上 可 能 有 多 块 网 卡 ， 那 么 到 底 是 由 哪个 网 卡 
或 耻 地 址 对 外 提供 共享 存储 资源 呢 ? 这 就 需要 我 们 在 配置 文件 
中 手动 定义 iSCSI 服务 端的 信息 ， 即 在 portals 参 数目 录 中 写 上 服 
务 器 的 IP 地 址 。 接 下 来 将 由 系统 自动 开启 服务 器 192.168.10.10 
的 3260 端 口 将 向 外 提供 iSCSI 共 享 存储 资源 服务 : 

















/iscsi/iqn.20...d80/tpg1/acls» cd .. 
/iscsi/iqn.20...c356ad80/tpg1» cd portals 


/iscsi/iqn.20.../tpgi1/portals» create 192.168.10.10 
Using default IP port 3260 
Created network portal 192.168.10.10:3260. 








第 6 步 : 配置 妥当 后 检查 配置 信息 ， 重 局 iSCSI 服务 端 程序 
并 配置 防火 墙 策 略 。 在 参数 文件 配置 妥当 后 ， 可 以 浏览 刚刚 配 
置 的 信息 ， 确 保 与 下 面 的 信息 基本 一 致 。 在 确认 信息 无 误 后 输 
入 exit 命 令 来 退出 配置 。 注 意 ， 千 万 不 要 习惯 性 地 按 Ctrl + C 组 
合 键 结 束 进 程 ， 这 样 不 会 保存 配置 文件 ， 我 们 的 工作 也 就 白费 
了 了。 最 后 重 局 iSCSI 服务 端 程序 ， 再 设置 firewalld 防 火 墙 策 略 ， 
使 其 放行 3260/tcp 端 口号 的 流量 。 




















/iscsi/ign.20.../tpgi/portals> ls / 


Qu u^ nba VO ES AH NE RR dS [sad 

o= backstones ,a [v] 

| HOS DIOK sv Sa ceased d RESO [Storage Objects: 1] 

| [562 disk ven ev ed re [/dev/md@ (40.0GiB) wr 
ite-thru activated] 

| 二 二 [Storage Objects: 0] 

MOS DE SL quan sad edtos eus [Storage Objects: 0] 

| SOS Mamdisk saa a [Storage Objects: 0] 

OF 工 SES pA RARUS RUP [Targets: 1] 

| o- iqn.2003-01.org.linux-iscsi. linuxprobe.x8664:sn. 
d497c356ad80 ... [TPGs: 1] 

| O= "EDBT. crni seu ER taiten [no-gen-acls, no-auth] 

| 站 
T [ACLs: 1] 


| | o- iqn.2003-01.org.linux-iscsi. linuxprobe.x86 
64:sn.d497c356ad80: client 
[Mapped LUNs: 1] 


| o- mapped LUNG .......................... [ 
lun@ block/disk® (rw) ] 
O= LUNS en ua Oe [LUNs: 1] 

| | [block/diske (/dev/mde 
)] 

| 6 BoOrtals wn yy oun [Portals: 1] 

| o- 192.168.10.10:3260 [OK] 

o- loopback .................， [Targets: 0] 
/» exit 


Global pref auto save on exit-true 

Last 10 configs saved in /etc/target/backup. 
Configuration saved to /etc/target/saveconfig.json 
[root@linuxprobe ~]# systemctl restart targetd 
[root@linuxprobe ~]# firewall-cmd --permanent --add-por 
t=3260/tcp 

success 

[root@linuxprobe ~]# firewall-cmd --reload 


success 


iSCSI 服务 端的 配置 至 此 全 部 完成 。 





17.4 配置 Linux 客 户 端 


我 们 在 前 面 的 章节 中 已 经 配置 了 很 多 Linux 服 务 ， 基 本 上 
可 以 说 ， 无 论 是 什么 服务 ， 客 户 端的 配置 步骤 都 要 比 服 务 端的 
配置 步骤 简单 一 些 。 在 RHEL 7 系统 中 ， 已 经 默认 安装 了 iSCSI 
客户 端 服务 程序 initiator。 如 果 您 的 系统 没有 安 闭 的 话 ， 可 以 
使 用 Yum 软 件 仓库 手动 安装 。 


[root@linuxprobe ~]# yum install iscsi-initiator-utils 
Loaded plugins: langpacks, product-id, subscription-man 


ager 
Package iscsi-initiator-utils-6.2.0.873-21.e17.x86 64 a 


lready installed and 
latest version 
Nothing to do 











前 面 讲 到 ，iSCSI 协 议 是 通过 客户 端的 名 称 来 进行 验证 ， 
而 该 名 称 也 是 iSCSI 客户 端的 唯一 标识 ， 而 且 必 须 与 服务 问 配 
置 文件 中 访问 控制 列表 中 的 信息 一 致 ， 否 则 客户 端 在 尝试 访问 
存储 共 至 设备 时 ， 系 统 会 弹出 验证 失败 的 保存 信息 。 











下 面 我 们 编辑 iSCSI 客 户 端 中 的 initiator 名 称 文件 ， 把 服务 
端的 访问 控制 列表 名 称 填 写 进 来 ， 然 后 重启 客户 端 iscsid 服 务 
程序 并 将 其 加 入 到 开机 启动 项 中 : 


[root@linuxprobe ~]# vim /etc/iscsi/initiatorname.iscsi 
InitiatorName-iqn.2003-01.0rg.linux-iscsi.linuxprobe.x8 
664:sn.d497c356ad80:client 

[root@linuxprobe ~]# systemctl restart iscsid 


[root@linuxprobe ~]# systemctl enable iscsid 

In -s '/usr/lib/systemd/system/iscsid.service' '/etc/sy 
stemd/system/multi-user. 

target.wants/iscsid.service' 











iSCSI P mui n E48 HH SESE rfi VEU) ARR fe, R 
m B XI ZIMA — AV) RRM, FES, Bate 
并 使 用 ”。iscsiadm 是 用 于 管理 、 查 询 、 插 入 、 更 新 或 删除 
iSCSI 数据 库 配 置 文件 的 命令 行 工具 ， 用 户 需 要 先 使 用 这 个 工 
具 扫 描 发 现 远程 iSCSI 服务 端 ， 然 后 查看 找到 的 服务 端 上 有 哪 
些 可 用 的 共享 存储 资源 。 其 中 ，-m discovery 参 数 的 目的 是 扫 
描 并 发 现 可 用 的 存储 资源 ，-t st 参数 为 执行 扫描 操作 的 类 型 ，- 
p 192.168.10.10 参 数 为 iSCSI 服务 端的 耳 地 址 : 




















[root@linuxprobe ~]# iscsiadm -m discovery -t st -p 192 
.168.10.10 


192.168.10.10:3260,1 iqn.2003-01.0rg.linux-iscsi.linuxp 
robe.x8664:sn.d497c356ad80 











在 使 用 iscsiadm 命 令 发 现 了 远程 服务 器 上 可 用 的 存储 资源 
后 ， 接 下 来 准备 登录 iSCSI 服务 端 。 其 中 ，-m node 参 数 为 将 客 
户 端 所 在 主机 作为 一 人 台 节 点 服务 器 ，-T iqn.2003-01. org.linux- 
iscsi.linuxprobe.x8664:sn.d497c356ad80 参 数 为 要 使 用 的 存储 资 











源 《〈 大 家 可 以 直接 复制 前 面 命令 中 扫描 发 现 的 结果 ， 以 免 录 入 
HR) » -p 192.168.10.10 参 数 依然 为 对 方 iSCSI 服务 端的 卫 地 
址 。 最 后 使 用 --login 或 -] 参 数 进行 登录 验证 。 


[root@linuxprobe ~]# iscsiadm -m node -T iqn.2003-01.0r 
g.linux-iscsi.linuxprobe. 

x8664:sn.d497c356ad80 -p 192.168.10.10 --login 

Logging in to [iface: default, target: iqn.2003-01.org. 
linux-iscsi.linuxprobe. 


x8664:sn.d497c356ad80, portal: 192.168.10.10,3260] (mul 
tiple) 

Login to [iface: default, target: iqn.2003-01.0rg.linux 
-iscsi.linuxprobe.x8664: 

sn.d497c356ad80, portal: 192.168.10.10,3260] successful. 





在 iSCSI 客户 端 成 功 登 录 之 后 ， 会 在 客户 端 主机 上 多 出 一 
块 名 为 /dewsdb 的 设备 文件 。 第 6 章 曾 经 讲 过 ，udev 服 务 在 命名 
硬盘 名 称 时 ， 与 便 盘 插 构 是 没有 关系 的 。 接 下 来 可 以 像 使 用 本 
地 主机 上 的 硬盘 那样 来 操作 这 个 设备 文件 了 。 


[root@linuxprobe ~]# file /dev/sdb 
/dev/sdb: block special 


下 面 进入 标准 的 磁盘 操作 流程 。 考 虑 到 大 家 已 经 在 第 6 章 
学 习 了 这 部 分 内 容 ， 外 加 这 个 设备 文件 本 身 只 有 40GB 的 容 
量 ， 因 此 我 们 不 再 进行 分 区 ， 而 是 直接 格式 化 并 挂 载 使 用 。 


[root@linuxprobe ~]# mkfs.xfs /dev/sdb 








log stripe unit (524288 bytes) is too large (maximum is 
256KiB) 

log stripe unit adjusted to 32KiB 
meta-data=/dev/sdb isize-256 agcount-1 
6, agsize=654720 blks 

- sectsz-512 attr-2, p 
rojid32bit-1 

- crc-o 
data = bsize-4096 blocks=10 
475520, imaxpct=25 

= sunit=128 swidthz25 


6 blks 

naming =version 2 bsize-4096 ascii-ci= 
0 ftype-0O 

log -internal log bsize-4096 blocks=51 


20, version-2 
- sectsz-512  sunit-8 b 

lks, lazy-count-1 
realtime =none extsz=4096 blocks=0, 
rtextents=0 

[root@linuxprobe ~]# mkdir /iscsi 

[root@linuxprobe ~]# mount /dev/sdb /iscsi 
[root@linuxprobe ~]# df -h 


Filesystem Size Used Avail Use% Mounted on 
/dev/mapper/rhel-root 18G 3.4G 15G 20% / 

devtmpfs 734M © 734M 0% /dev 

tmpfs 742M 176K 742M 1% /dev/shm 
tmpfs 742M 8.8M 734M 2% /run 

tmpfs 742M © 742M 0% /sys/fs/cg 
roup 

/dev/sr@ 3.5G 3.5G © 100% /media/cdr 
om 

/ dev/sda1 497M 119M 379M 24% /boot 


/dev/sdb 40G 33M 40G 1% /iscsi 











从 此 以 后 ， 这 个 设备 文件 就 如 同 是 客户 端 本 机 主机 上 的 硬 
盘 那样 工作 。 需 要 提醒 大 家 的 是 ， 由 于 udev 服 务 是 按照 系统 识 
别 硬 盘 设备 的 顺序 来 命名 硬盘 设备 的 ， 当 客户 端 主机 同时 使 用 
多 个 远程 存储 资源 时 ， 如 有 果 下 一 次 识别 远程 设备 的 顺序 发 生 了 
变化 ， 则 客户 端 挂 载 目录 中 的 文件 也 将 随 之 混乱 。 为 了 防止 发 
生 这 样 的 问题 ， 我 们 应 该 在 /etc/fstab 配 置 文件 中 使 用 设备 的 
UUID 唯 一 标识 符 进行 挂 载 ， 这 样 ， 不 论 远程 设 备 资 源 的 识别 
顺序 再 怎么 变化 ， 系 统 也 能 正确 找到 设备 所 对 应 的 目录 。 
































blkid 命 令 用 于 查看 设备 的 名 称 、 文 件 系统 及 UUID。 可 以 
使 用 管道 符 ( 详 见 第 3 章 ) 进行 过 滤 ， 只 显示 与 /dev/sdb 设 备 相 
关 的 信息 : 





[root@linuxprobe ~]# blkid | grep /dev/sdb 
/dev/sdb: UUIDz"eb9cbf2f-fce8-413a-b770-8b0f243e8ad6" T 


YPE="xfs" 





Hl) gta = IIS ER — a], H T/dev/sdbzé ~P TTi 
设备 ， 而 iSCSI 协议 是 基于 TCP/P 网 络 传输 数据 的 ， 因 此 必须 
在 /etc/fstab 配 置 文件 中 添加 上 _netdev 参 数 ， 表 示 当 系统 联网 后 
再 进行 挂 载 操作 ， 以 免 系 统 开 机 时 间 过 长 或 开机 失败 : 





[root@linuxprobe ~]# vim /etc/fstab 

# 

# /etc/fstab 

# Created by anaconda on Wed May 4 19:26:23 2017 


# 

# Accessible filesystems, by reference, are maintained 
under '/dev/disk' 

# See man pages fstab(5), findfs(8), mount(8) and/or bl 
kid(8) for more info 


# 

/dev/mapper/rhel-root / 

xfs defaults 11 
UUID-812b1f7c-8b5b-43da-8c06-b9999e0fe48b /boot 

xfs defaults 12 

/dev/mapper /rhel-swap 
swap swap defaults 0 6 

/dev/cdrom /media/cdrom 


1so9660 defaults 0 0 
UUID-zeb9cbf2f-fce8-413a-b770-8b0f243e8ad6 /iscsi xfs de 
faults, netdev 9 0 











如 果 我 们 不 再 需要 使 用 iSCSI 共享 设备 资源 了 ， 可 以 用 
iscsiadm 命 令 的 -u 参 数 将 其 设备 外 载 : 


[root@linuxprobe ~]# iscsiadm -m node -T iqn.2003-01.0r 
g.linux-iscsi.linuxprobe. 
x8664:sn.d497c356ad80 -u 
Logging out of session [sid: 7, target : iqn.2003-01.or 


g.linux-iscsi.linuxprobe. 

x8664:sn.d497c356ad80, portal: 192.168.10.10,3260] 
Logout of [sid: 7, target: iqn.2003-01.0rg.linux-iscsi. 
linuxprobe.x8664:sn. 
d497c356ad80,portal:192.168.10.10,3260] successful. 





17.5 配置 Windows 客 户 端 


使 用 Windows 系 统 的 客户 端 也 可 以 正常 访问 iSCSI 服务 器 
上 的 共享 存储 资源 ， 而 且 操作 原理 及 步骤 与 Linux 系 统 的 客户 
端 基本 相同 。 在 进行 下 面 的 实验 之 前 ， 请 先 关 闭 Linux 系 统 客 
户 端 ， 以 免 这 两 台 客 户 端 主机 同时 使 用 iSCSI 共享 存储 资源 而 
产生 潜在 问题 。 下 面 按照 表 17-?2 来 配置 iSCSI 服务 器 和 Windows 
客户 端 所 用 的 耳 地 址 。 








表 17-2 iSCSI 服务 器 和 客户 端的 操作 系统 以 及 IP 地 址 


eae "m 


iSCSI 服务 器 RHEL 7 192.168.10.10 
Windows 系 统 客户 端 192.168.10.30 


第 1 步 : 运行 iSCSI 发 起 程序 。 在 Windows 7 操作 系统 中 已 
经 默认 安装 了 iSCSI 客户 端 程序 ， 我 们 只 需 在 控制 面板 中 找 
到 “系统 和 安全 ”标签 ， 然 后 单 击 “管理 工具 ”( 见 图 17-3) ， 进 














入 到 “管理 工具 ”页 面 后 即 可 看 到 “iSCSI 发 起 程序 ?图标 。 双 击 
该 图 标 。 在 第 一 次 运行 iSCSI 发 起 程序 时 ， 系 统 会 提 





示 “Microsoft iSCSI 服务 端 未 运行 ”， 单 击 “ 是 ”按钮 即 可 上 自动 局 
动 并 运行 SCSI 发 起 程序 ， 如 图 17-4 所 示 。 








第 2 步 : 扫描 发 现 iSCSI 服 务 端 上 可 用 的 存储 资源 。 不 论 是 
Windows 系 统 还 是 Linux 系 统 ， 要 想 使 用 iSCSI 共享 存储 资源 都 
必须 先进 行 扫描 发 现 操 作 。 运 行 iSCSI 发 起 程序 后 在 “目标 ” 选 
项 卡 的 “目标 ”文本 框 中 写 入 iSCSI 服 务 端的 IP 地 址 ， 然 后 单 
击 “ 快 速 连接 ”按钮 ， 如 图 17-5 所 示 。 

















在 弹出 的 “快速 连接 ”提示 框 中 可 看 到 共享 的 硬盘 存储 资 
源 ， 单 击 “ 完 成 ”按钮 即 可 ， 如 图 17-6 所 示 。 
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控制 面板 主页 wy REPO 
e EHE \ “检查 计算 机 的 状态 并 解决 问题 | p 更 改 用 户 帐户 控制 设置 | 常见 计算 机 问题 疑难 解答 
it SSeS 
网 络 和 Internet 
硬件 和 声音 过 Windows 防火 墙 
ax 检查 防火 境 状 态 | 允许 程序 通过 Windows 防火 培 
用 户 帐户 和 家 庭 安全 du 系统 
外 观 “人 EE RAM 的 大 小 和 处 理 器 速度 | 检查 Windows 体验 指数 | @ 允许 远程 访问 
查看 该 计算 机 的 名 称 Lessee 
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获取 新 版 本 的 Windows 7 的 更 多 功能 
e 
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U-| ARESA | 对 硬盘 进 行 碎片 天 理 | Q 创建 并 格式 化 硬盘 分 区 | Q 坦 看 事件 日 志 
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图 17-3 ”在 控制 面板 中 单 击 “ 管 理工 具 ” 
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75 最 后 方 问 的 位 置 Windows 内 存 诊断 2009/7/14 12:53 
(ej. 服务 2009/7/14 12:54 


Microsoft iSCSI 服务 尚未 运行 。 若 要 使 1SCSI 正常 工作 ， 必 须 启 动 该 服务 。 若 要 
立即 启动 该 服务 并 让 该 服务 在 每 次 计算 机 台新 启动 时 自动 启动 ， EE E 
钮 。 
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iSCSI 发 起 程序 修改 日 期 : 2009/7/14 12:54 创建 日 期 : 2009/7/14 12:54 
快捷 方式 大 小 : 1.24 KB 





图 17-4 ”双击 “iSCSI 发 起 程序 图标 


目标 | 发 现 | 收藏 的 目标 | 卷 和 设备 | RADIUS | 配置 
快速 连接 
SUSY PARR ERE RRS. WALA REHM Ir 地 址 或 ms 名 
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对 生 野 标 必 性， 包括 会话 的 本 秆 ， 请 选择 该 目标 并 单 击 EEO... 
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17-5 “填写 iSCSI 服务 端的 卫 地 址 


‘iSCSI 发 起 程序 屋 性 | X | 





IP ilo RAZA 
EEP: ese ee DS pari a el EE ta RBS 如 果 有 多 个 目 
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已 发 现 的 目标 CD) 
名 称 








进度 报告 
无 法 登录 到 目标 。 
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[ Aw | 
图 17-6 ”在 “快速 连接 ?提示 框 中 看 到 的 共享 的 硬盘 人 存储 资 


回 到 “目标 ”选项 卡 页 面 ， 可 以 看 到 共享 存储 资源 的 名 称 已 
经 出 现 ， 如 图 17-7 所 示 。 


第 3 步 : 准备 连接 iSCSI 服务 端的 共享 存储 资源 。 由 于 在 








iSCSI 服务 端 程序 上 设置 了 ACL， 使 得 只 有 客户 端 名 称 与 ACL 
策略 中 的 名 称 保持 一 致 时 才能 使 用 远程 存储 资源 ， 因 此 需要 
在 “配置 ?选项 卡 中 单 击 “ 和 更改? 按钮， 把 iSCSI 友 起 程序 的 名 称 
修改 为 服务 端 ACL 所 定义 的 名 称 ， 如 图 17-8 所 示 。 








"iSCSI 发起 程序 Ete [eso 











目标 “| 发 现 | 收藏 的 目标 | 卷 和 设备 | RADIVS | 配置 
快速 连接 
茂 更 次 开标 并 使 用 划 杰 说 接 登 录 到 目标 ， 请 键入 该 目标 的 Tr 地 址 或 m 名 








Biz (D: REE 0). 


已 发 现 的 目标 (6) 





名 称 状态 
ign. 2003-01. org. linux-isesi. localhost. x8664:... 不 活动 











着 要 信用 高 级 选项 进行 笑 接 ， 请 选择 目标 ,然后 单 击 
着 要 完全 断 开 某 个 目标 的 入 接 ， 请 选择 该 目标 ,然后 音 
eugene. 请 选择 该 断 开 连 接 0) 
EEEE nS WOURENRH A (RED 
对本 与 目标 关联 的 设备 ， 请 选择 该 目标 ， 然 后 单 击 


iz 




















图 17-7 在 “目标 ”选项 卡 中 看 到 了 共享 存储 资源 


‘iSCSI 发 起 程序 屋 性 E 
| 目标 | 发 现 收藏 的 目标 | 卷 和 设备 | morus | 配置 
此 处 的 配置 设置 是 全 局 设置 ， 会 影响 以 后 使 用 该 发 起 程序 进行 的 任何 连接 。 














el i 但 如 果 重 新 启动 系统 ， 或 发 起 程序 和 图 重新 连 
和， i 


连接 到 目标 时 ， 高 级 连接 功能 允许 对 特定 连接 进行 特别 控制 。 


发 起 程序 名 称 : 
ign. 2003-01. org. Linux-iscsi. localhost. x6664: sn. 97835da33T dT: client 


若 要 修改 发 起 程序 名 称 ， 请 单 击 “ 更 改 ”。 


2 - a 密 设 = c" 
EEUEUSE ow 机 这 设置 为 与 相互 Cur 一 起 使 (owo) 


Fee eps ats Fr IPsec 隧道 模式 地 址 ， 请 单 击 IPsec(I)... 





a CEERNE NRAN ， 请 单 C REN | 

















图 17-8 ”修改 iSCSI 发 起 程序 的 名 称 


在 确认 客户 端 发 起 程序 的 名 称 修 改正 确 后 即 可 返回 到 “ 目 
标 ” 选 项 卡 页 面 中 ， 然 后 蛙 击 “连接 ”按钮 进行 连接 请 求 ， 成 功 











连接 到 远程 共享 存储 资源 的 页 面 如 图 17-9 所 示 。 


"iSCSI 发 起 程序 屋 性 mm 
目标 ”| 发 现 “| 收藏 的 目标 | 卷 和 设备 | mons | 配置 
快速 连接 

ARMS PERARE RSA. MENZE I 地 址 或 ms 名 











tr (D: Bog 0)... 


已 发 现 的 目标 (6) 
ee) 





名 称 状态 
ign. 2003-01. org. linux-isesi. localhost. x8664:... 已 连接 











PERERA: 请 选择 目标 ,然后 单 击 

若 要 完全 断 开 某 个 目标 的 六 接 ， 请 选择 该 目标 ， 然后 单 

TUERI 请 选择 六 ETHER ©) 

TERTE ASARA PARAH H EEP... | 

TRG SARA 请 选择 该 目标 ， 然后 单 击 
I o 























图 17-9 成功 连接 到 远程 共享 存储 资源 


第 4 步 : 访问 iSCSI 远程 共享 存储 资源 。 右 键 单 击 果 面 上 
的 “计算 机 图标， 打开 计算 机 管理 程序 ， 如 图 17-10 所 示 。 
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& 计算 机 管理 





文件 (站 ”操作 (A) BBV) ”帮助 (H) 
es 20 BEES B Xx ez a 











cs 简单 基本 RAW 正在 格式 化 39.96 GB 39.96 











基本 (C) 
60.00 GB || 60.00 GB NTFS 
联机 | 状态 良好 (系统 , 启动 ,页面 文件 , 活动 , 故障 转 储 , 主 分 区 ) 

















基本 1 | 
39.97 GB /39.96 GB 
联机 








o 
Es CD-ROM 0 
DVD (Dj) | 
E +E 图 主 分 区 





(e [ss|em|xexs|us —  — 1 1 de | 可 | 操作 


Cs» (C) 简单 基本 NTFS 状态 良好 (系统 , 启动 ,页面 文件 , 活动 , 故障 转 储 , 主 分 区 ) 60.00GB 48.54 |" 


m 
z 
= 磁盘 0 EE 一 





| 正在 格式 化 和 E 




















图 17-10 ”计算 机 管理 程序 的 界面 





开始 对 倒 盘 进行 初始 化 操作 ， 如 图 17-11 所 示 。Windows 系 
统 用 来 初始 化 磁盘 设备 的 步骤 十 分 简单 ， 各 位 读者 都 可 以 玩 得 
转 Linux 系 统 ， 相 信 Windows 系 统 就 更 不 在 话 下 了 。Windows 系 


统 的 初始 化 过 程 步骤 如 图 17-12 至 图 17-18 所 示 。 


e ene L 
SHA) ”操作 (A) SEV) ”帮助 (H) 
€ «| [3 B Bu 
de 计算 机 管理 (本 地 ) (s |an am| 文件 系统 | 关 坟 | 独 | 可 用 s| 操 作 
4 |] 系统 工具 Cx» (C) 简单 BA NTFS 状态 良好 (系统 , 启动, 页 面 文件 , 活动 , 故障 转 储 , 主 分 区 ) 60.00 GB 48.54 
> @ aedem 
> B 事件 查看 器 
P gm 共享 文件 夫 
> @ 性 能 
d 设备 管理 器 
48 存储 
名 磁盘 管理 磁盘 必须 经 过 初始 化 ， 逻 辑 磁盘 管理 器 才能 访问 。 
> E. 服务 和 应 用 程序 选择 


































































| 为 所 选 磁盘 使 用 以 下 磁盘 分 区 形式 : 
| Q9 BR ( 主 启动 记录 ) M) 
GPT GUID HER) (6) 


ae ey 
y 















| 39.97 GB 
没有 初始 化 | 未 分 本 
































图 17-11 对 磁盘 设备 进行 初始 化 操作 


“新 建 简单 卷 向 导 CX 
欢迎 使 用 新 建 简单 卷 向 导 


此 [各 号 帮助 您 在 磁盘 上 创建 一 个 简单 卷 。 
简单 卷 只 能 在 单一 磁盘 上 。 
单 击 “ 下 一 步 ”继续 。 





< 上 一 步 (8) 取消 





图 17-12 ”开始 使 用 “新 建 简 单 卷 癌 导 ?” 


“新 建 简单 卷 向 导 =s 


X4 


选择 介 于 最 太 和 最 小 值 的 卷 大 小 。 





最 大 磁盘 空间 量 MB): 
最 小 磁盘 空间 量 MB): 
简单 卷 大 小 MB) G2 : 











图 17-13 ”对 破 盘 设备 进行 分 区 操作 


分 醒 驱 动 器 号 和 路 径 
为 了 便于 访问 ， 可 以 给 磁盘 分 区 分 醒 驱 动 器 号 或 驱动 器 路 径 。 


© 分 配 以 下 驱动 器 号 @): 
© 装 入 以 下 空白 NIFS 文件 夹 中 00 : 

| | [四 | 
© 不 分 配 驱 动 器 号 或 驱动 器 路 径 QD 











图 17-14 ”设置 系统 中 显示 的 盘 符 
EL 


格式 化 分 区 
要 在 这 个 磁盘 分 区 上 情 存 数据 ， 您 必须 先 将 其 格式 化 。 








选择 是 否 要 格式 化 这 个 卷 ! 如 果 要 格式 化 ， 要 使 用 什么 设置 。 


O 不 要 格式 化 这 个 卷 四 ) 

9 按 下 列 设置 格式 化 这 个 卷 @): 
文件 系统 到 ) : 
分 要 单元 大 小 &): GE 
BW: Pasar ] 
执行 快速 格式 化 @) 
启用 文件 和 文件 来 压缩 到 ) 





图 17-15 ”设置 磁盘 设备 的 格式 以 及 卷 标 
“新 建 简单 卷 向 导 x 
正在 完成 新 建 简单 卷 向 导 


TEES PIT REGERE iB] SÉ T] s e 


TET gen E —— 
ids : ee A MB 
ug E: 





a EC 





AEG gd "xU 








bi-o s ] [ m | 


图 17-16 ”检查 磁盘 初始 化 信息 是 否 正 确 


de 计算 机 管理 
文件 ( BEA EEV WH) 
A BE ms 


dE 计算 机 管理 (本 地 | 卷 。 | 布局 | 关 型 | 文件 系统 AIRE | 操作 
4 ij) 系统 工具 ca (C) 简单 基本 NTFS RORE (系统 , 启动 , 页 面 文件 , 活动 , 故障 转 储 , 主 分 区 ) 60.00 GB 48.54 BASE O al 
> O 人 计划 程序 
> @ 事件 查看 器 更 多 操作 > 
Esae 
> @ 性 能 
A Bet 
4 e 存储 
= 磁盘 管理 
> Sy 服务 和 应 用 程序 


= 





























| € | 
| 60.00 GB NTFS 
| 状态 良好 (系统 启动 页 面 文件 , 活动 故障 转盘 , 主 分 区 ) 











|39.97 GB 
未 分 配 



































图 17-17 ”等 等 磁盘 设备 初始 化 过 程 


uf 
at 

















QO, m. | 全 || see san P] 
组 织 — EE DEBE 映射 网 络 驱动 器 。 ”打开 控制 面板 S-  ®@ 
wr 收藏 夫 4 硬盘 (2) 

Rte 本 地 磁盘 (C:) 远程 存储 资源 (E) 
m su Qa 2588 | | c» L J 
3 muc m 48.5 GB 可 用 , 共 59.9 GB 39.8 GB 可 用 , 共 39.9 GB 


4 有 可 移动 存储 的 设备 (1) 


库 
B 视频 DVD 驱动 器 (D:) 





图 BF _ 远程 存储 资源 (E:) 
ges 常规 选项 
magn [kh RSEN. | 
— LT TUE 
4  WIN-APSSIEANKLR 工作 组 : WORKGROUP AF: 2.00 GB 


ANES: Intel(R) Core(TM) i7-4... 


图 17-18 ”磁盘 初始 化 完毕 后 弹出 设备 图 标 


复习 题 





1. 简 述 iSCSI 存储 撤 术 在 生产 环境 中 的 作用 。 


答 : iSCSI 存储 技术 通过 把 硬件 存储 设备 与 TCP/PP 网 络 协 
议 相 互 结合 ， 使 得 用 户 可 以 通过 互联 网 方面 地 访问 远程 机 房 提 
供 的 共享 存储 资源 。 








2. 在 Linux 系 统 中 ，iSCSI 服 务 端 和 iSCSI 客户 端 所 使 用 的 
服务 程序 分 别 叫 什么 ? 

答 : iSCSI 服务 端 程序 为 targetd，iSCSI 客 户 端 程序 为 
initiator. 


3. 在 使 用 targetcli 命 令 配置 iSCSI 服务 端 配置 文件 时 ，acls 
与 portals 参 数 日 录 中 分 别 存放 什 么 内 容 ? 
答 : acls 参 数 日 录用 于 存放 能 够 访问 iSCSI 服 务 端 共享 存储 
资源 的 客户 端 名 称 ，portals 参 数目 录用 于 定义 由 服务 器 的 哪个 
IP 地 址 对 外 提供 共享 存储 资源 服务 。 























4. iSCSI 协议 占用 了 服务 堪 哪 个 协议 和 端口 号 ? 


答 : iSCSI 协 议 占 用 了 服务 器 了 TCP 协议 的 3260 症 口号 。 


5. 用 户 在 填写 fstab 设 备 挂 载 配置 文件 时 ， 一 般 会 把 远程 
存储 资源 的 UUID“《〈 而 非 设 备 的 名 称 ) 填写 到 配置 文件 中 。 这 
古 为 什么 ? 








答 : 在 Linux 系 统 中 ， 设 备 名 称 是 由 udev 服 务 进 行 管 理 
的 ， 而 udev 服 务 的 设备 命名 规则 是 由 设备 类 型 及 系统 识别 顺序 
等 信息 共同 组 成 的 。 考 虑 到 网 络 存储 设备 具有 识别 顺序 不 稳定 
的 特点 ， 所 以 为 了 避免 识别 顺序 混乱 造成 的 挂 载 错误 问题 ， 故 
使 用 UUID 进 行 挂 载 操 作 。 




















6. 在 使 用 Windows 系 统 来 访问 iSCSI 共享 存储 资源 时 ， 它 
有 两 个 步 又 与 Linux 系 统一 样 。 请 次 明 是 哪 两 个 步骤。 





答 : 扫描 并 发 现 服 务 端 上 可 用 的 iSCSI 共享 存储 资源 ; US 


第 18 章 ”使 用 MariaDB 数 据 库 管理 系统 








数据 库 管理 系统 ; 
。 初始 化 MariaDB 服 务 ; 
。 管理 账户 以 及 授权 ; 
。 创建 数据 库 与 表单 ; 


。 管理 表单 及 数据 ; 






数据 库 的 备份 与 恢复 。 








MySQL 数 据 库 项 目 自从 被 Oracle 公 司 收购 之 后 ， 从 开源 软 
件 转变 成 为 了 “财源 ”软件 ， 这 导致 生 行业 中 的 很 多 企业 以 及 三 





商 纷 纷 选择 使 用 了 数据 库 软 件 的 后 起 之 秀一 一 MariaDB 数 据 库 
管理 系统 。MariaDB 数 据 库 管 理 系统 也 因此 快速 占据 了 市 场 。 





本 章 将 介绍 数据 库 以 及 数据 库 管 理 系统 的 理论 知识 ， 然 后 
再 介绍 MariaDB 数 据 库 管理 系统 的 内 容 ， 最 后 将 通过 动手 实验 
的 方式 ， 帮 助 各 位 读者 掌握 MariaDB 数 据 库 管理 系统 的 一 些 常 








规 操 作 。 比 如 ， 账 户 的 创建 与 管理 、 账 户 权 限 的 授权 ， 新 建 数 
据 库 、 新 建 数 据 库 表单 ， 对 数据 库 执行 新 建 、 删 除 、 修 改 和 查 
询 等 操作 。 本 章 最 后 还 介绍 了 数据 库 的 备份 与 恢复 方法 。 








在 学 完 本 章 内 容 之 后 ， 读 者 不 但 可 以 胜任 生产 环境 中 的 数 
据 库 管理 工作 ， 还 可 以 掌握 RHCE 考 试 中 数据 库 管理 主题 相关 
的 内 容 。 








18.1 数据 库 管 理 系统 








数据 库 是 指 按照 条 些 特定 结构 来 存储 数据 资料 的 数据 仓 
库 。 在 当今 这 个 大 数据 撤 术 迅速 凯 起 的 年 代 ， 互 联网 上 每 天 都 
会 生成 海量 的 数据 信息 ， 数 据 库 技术 也 从 最 初 只 能 存储 简单 的 
表格 数据 的 单一 集中 存储 模式 ， 及 展 到 了 现 如 今 存 储 海量 数据 
的 大 型 分 布 式 模式 。 在 信息 化 社会 中 ， 能 够 充分 有 效 地 管理 和 
利用 各 种 数据 ， 挖 掘 其 中 的 价值 ， 是 进行 科学 研究 与 决策 管理 
的 重要 前 提 。 同 时 ， 数 据 库 技术 也 是 省 理 信息 系统 、 办 公 上 自动 
化 系统 、 决 集 支 持 系 统 等 各 类 信息 系统 的 核心 组 成 部 分 ， 是 进 
行 科学 研究 和 决策 管理 的 重要 技术 手段 。 























数据 库 管 理 系 统 是 一 种 能 够 对 数据 库 中 存放 的 数据 进行 建 
立 、 修 改 、 删 除 、 碍 找 、 维 护 等 操作 的 软件 程序 。 它 通过 把 计 
算 机 中 具体 的 物理 数据 转换 成 适合 用 户 理解 的 抽象 逻辑 数据 ， 
有 效 地 降低 数据 库 管 理 的 技术 门槛 ， 因 此 即便 是 从 事 Linux 运 
维 工 作 的 工程 师 也 可 以 对 数据 库 进行 基本 的 管理 操作 。 但 是 ， 
刘 遂 老师 有 必要 提醒 各 位 读者， 本 书 的 技术 主线 依然 是 Linux 
系统 的 运 维 ， 而 数据 库 管 理 系统 只 不 过 是 在 此 主线 上 的 一 个 内 
容 不 断 横 问 扩 展 、 纵 癌 加 深 的 分 文 ， 不 能 指望 在 一 两 天 之 内 就 
可 以 精通 数据 库 管 理 技术 。 如 果 有 读者 在 学 完 本 章 内 容 之 后 对 
数据 库 管理 技术 产生 了 浓厚 兴趣 ， 并 布 望 谋 得 一 份 相关 的 工 























TE, ABA S BAA Be till 523 XII T. 


BLA d UH ASU PE EE BN, LE SEA JF MySQL. 
MySQL Zé — 3 TH A E JE S en HJ UR PEE ER ARE, BOR 
熟 、 配 置 步骤 相对 简单 ， 而 且 具 有 民 好 的 可 扩展 性 。 但 是 ， 由 
于 Oracle 公 司 在 2009 年 收购 了 MySQL 的 母 公 司 Sun， 因 此 
MySQL 数 据 库 项 目 也 随 之 纳入 Oracle 麻 下， 逐步 演变 为 保持 着 
开源 软件 的 映 份 ， 但 又 申请 了 多 项 商业 专利 的 软件 系统 。 开 源 
软件 是 全 球 黑客 、 极 客 、 程 序 员 等 技术 高 手 在 开源 社区 的 大 旗 
下 的 公共 智 功 结晶 ， 自 己 的 劳动 成 果 人 被 其 他 公司 商业 化 自然 也 
伤 了 一 大 批 开源 工作 者 的 心 ， 因 此 由 MySQL 项 目 创始 者 重新 
研发 了 一 球 名 为 MariaDB 的 全 新 数据 库 管理 系统 。 该 软件 当前 
由 开源 社区 进行 维护 ， 是 MySQL 的 分 支 产 品 ， 而 且 几 乎 完全 
Fit MySQL. 





























与 此 同时 ， 由 于 各 大 公司 之 间 存 在 着 竞争 关系 或 利益 关 
系 ， 外 加 MySQL 在 被 收购 之 后 逐渐 由 开源 癌 闭 源 软 转弯， 很 
多 公司 抛弃 了 MySQL。 当 前 ， 谷 歌 、 维 基 百 科 等 技术 领域 决 
定 将 MySQL 数 据 库 上 的 业务 转移 道 MariaDB 数 据 库 ，Linux 开 





的 Fedora 系 统 中 ， 将 MariaDB 作 为 默认 的 数据 库 管理 系统 ， 而 
且 红 帽 公 司 更 是 首次 将 数据 库 知 识 加 入 到 了 RHCE 认 证 的 考试 
内 容 中 。 随 后 ， 还 有 数 十 个 和 营 见 的 Linux 系 统 〈 如 openSUSE、 





Slackware 等 ) 也 作出 了 同样 的 表态 。 


但 是 ， 坦 白 来 讲 ， 虽 然 IT 行业 巨头 都 决定 采用 MariaDB 数 
据 库 管 系统 ， 这 并 不 意味 着 MariaDB 较 之 于 MySQL 有 明显 的 优 
33, opus zz p HI EA A myET [8)3U UA f MariaDB MySQL RS X. 
别 ， 并 进行 了 多 项 性 能 测试 ， 并 没有 发 现 媒体 所 说 的 那 种 明显 
的 优势 。 可 以 说 ，MariaDB 和 MySQL 在 性 能 上 基本 保持 一 致 ， 
两 者 的 操作 命令 也 十 分 相似 。 从 务实 的 角度 来 讲 ， 在 掌握 了 
MariaDB 数 据 库 的 命令 和 基本 操作 之 后 ， 在 今后 的 工作 中 即使 
遇 到 MySQL 数 据 库 ， 也 可 以 快速 上 手 。 所 以 ， 这 两 个 数据 库 
系统 无 论 选 择 哪 一 个 来 学 习 都 悉 听 君 便 ， 而 本 书 之 所 以 选择 以 
MariaDB 数 据 库 进 行 讲 解 ， 主 要 是 从 RHCE 认 证 考试 和 技术 垄 
WEN) FA BE TEEN TRE o 














18.2 ”初始 化 MariaDB 服 务 


相 较 于 MySQL，MariaDB 数 据 库 管 理 系统 有 了 很 多 新 鲜 的 
扩展 特性 ， 例 如 对 微 秒 级 别 的 文 持 、 线 程 池 、 子 得 询 优化 、 进 
程 报告 等 。 在 配置 妥当 Yum 软 件 仓 库 后 ， 即 可 安装 部 署 
MariaDB 数 据 库 主 程序 及 服务 端 程序 了 。 








在 安装 完毕 后 ， 记 得 启动 服务 程序 ， 并 将 其 加 入 到 开机 启动 项 
中 。 











[root@linuxprobe ~]# yum install mariadb mariadb-server 
Loaded plugins: langpacks, product-id, subscription-man 


ager 
mm 省 略 部 分 输出 信 sss 
Installing: 


mariadb x86 64 1:5.5.35-3.el7 rhel 8.9 M 
mariadb-server x86 64 1:5.5.35-3.el7 rhel 11 M 
Installing for dependencies: 

perl-Compress-Raw-Bzip2 x86 64 2.061-3.e17 rhel 32 k 
perl-Compress-Raw-Zlib x86 64 1:2.061-4.e17 rhel 57 k 
perl-DBD-MySQL x86 64 4.023-5.e17 rhel 140 k 
perl-DBI x86 64 1.627-4.e17 rhel 802 k 
perl-Data-Dumper x86 64 2.145-3.el17 rhel 47 k 
perl-IO-Compress noarch 2.061-2.e17 rhel 260 k 
perl-Net-Daemon noarch 0.48-5.e17 rhel 51 k 
perl-PIRPC noarch 0.2020-14.e17 rhel 36 k 


Transaction Summary 


Install 2 Packages (+8 Dependent packages) 
Total download size: 21 M 

Installed size: 107 M 

Is this ok [y/d/N]: y 

Downloading packages: 


Total 82 MB/s | 21 MB 00:00 

Running transaction check 

Running transaction test 

Transaction test succeeded 

Running transaction 

mue 省 略 部 分 输出 信 sss 

Installed: 

mariadb.x86 64 1:5.5.35-3.e17 mariadb-server.x86 64 1: 
5.5.35-3.e17 

Dependency Installed: 
perl-Compress-Raw-Bzip2.x86 64 0:2.061-3.e17 
perl-Compress-Raw-Zlib.x86 64 1:2.061-4.e17 
perl-DBD-MySQL.x86 64 0:4.023-5.e17 
perl-DBI.x86 64 0:1.627-4.e17 
perl-Data-Dumper.x86 64 0:2.145-3.e17 
perl-IO-Compress.noarch 0:2.061-2.e17 
perl-Net-Daemon.noarch 0:0.48-5.e17 
perl-PIRPC.noarch 0:0.2020-14.e17 

Complete! 

[root@linuxprobe ~]# systemctl start mariadb 
[root@linuxprobe ~]# systemctl enable mariadb 

In -s '/usr/lib/systemd/system/mariadb.service' '/etc/s 

ystemd/system/multi-user. 

target.wants/mariadb.service' 





在 确认 MariaDB 数 据 库 软件 程序 安装 完毕 并 成 功 局 动 后 请 
不 要 立即 使 用 。 为 了 确保 数据 库 的 安全 性 和 下 第 运转 ， 需 要 先 
对 数据 库 程 序 进行 初 始 化 操作 。 这 个 初始 化 操作 涉及 下 面 5 个 


步骤 。 











设置 root 管 理 员 在 数据 库 中 的 密码 值 〈 注 意 ， 该 密码 并 非 
root 管 理 员 在 系统 中 的 密码 ， 这 里 的 密码 值 默 认 应 该 为 
空 ， 可 直接 按 回 车 键 〉。 

设置 root 管 理 员 在 数据 库 中 的 专 有 密码 。 

随后 删除 匿名 账户 ， 并 使 用 root 管 理 员 从 远程 登录 数据 
库 ， 以 确保 数据 库 上 运行 的 业务 的 安全 性 。 

删除 默认 的 测 斌 数据库， 取消 测试 数据 库 的 一 系列 访问 权 
限 。 

刷新 授权 列表 ， 让 初始 化 的 设 定 立即 生效 。 

















对 于 上 述 数 据 库 初始 化 的 操作 步 又， 刘 遂 老师 已 经 在 下 面 
的 输出 信息 劳 边 进行 了 简单 注释 ， 确 保 各 位 读者 更 直观 地 了 解 
要 输入 的 内 容 : 











[root@linuxprobe ~]# mysql secure installation 
/usr/bin/mysql secure installation: line 379: find mysq 
l client: command not found 

NOTE: RUNNING ALL PARTS OF THIS SCRIPT IS RECOMMENDED F 
OR ALL MariaDB 


SERVERS IN PRODUCTION USE! PLEASE READ EACH STEP 
CAREFULLY! 


In order to log into MariaDB to secure it, we'll need t 
he current 
password for the root user. If you've just installed M 
ariaDB, and 
you haven't set the root password yet, the password wil 
l be blank, 
SO you should just press enter here. 
Enter current password for root (enter for none): 当前 
数据 库 密码 为 空 ， 直 接 按 回 车 键 
OK, successfully used password, moving on... 
Setting the root password ensures that nobody can log i 
nto the MariaDB 
root user without the proper authorisation. 
Set root password? [Y/n] y 
New password: 输入 要 为 root 管 理 员 设置 的 数据 库 密码 
Re-enter new password: 再 次 输入 密码 
Password updated successfully! 
Reloading privilege tables.. 

. Success! 
By default, a MariaDB installation has an anonymous use 
r, allowing anyone 
to log into MariaDB without having to have a user accou 
nt created for 
them. This is intended only for testing, and to make t 
he installation 
go a bit smoother. You should remove them before movin 
g into a 
production environment. 
Remove anonymous users? [Y/n] y 删除 匿名 账户 ) 

. Success! 
Normally, root should only be allowed to connect from 
localhost'. This 
ensures that someone cannot guess at the root password 
from the network. 
Disallow root login remotely? [Y/n] y (禁止 root 管 理 员 从 
远程 登录 ) 





. Success! 
By default, MariaDB comes with a database named 'test' 
that anyone can 
access. This is also intended only for testing, and sh 
ould be removed 
before moving into a production environment. 
Remove test database and access to it? [Y/n] y (删除 tes 
t 数 据 库 并 取消 对 它 的 访问 权限 ) 
- Dropping test database... 
. Success! 
- Removing privileges on test database... 
. Success! 
Reloading the privilege tables will ensure that all cha 
nges made so far 
will take effect immediately. 
Reload privilege tables now? [Y/n] y (刷新 授权 表 ， 让 初始 
化 后 的 设 定 立 即 生效 ) 
. Success! 
Cleaning up... 
All done! If you've completed all of the above steps, 
your MariaDB 
installation should now be secure. 





Thanks for using MariaDB! 











在 很 多 生产 环境 中 都 需要 使 用 站 库 分 离 的 技术 〈 即 网 站 和 
数据 库 不 在 同一 个 服务 器 上 ) ， 如 果 需 要 让 root 管 理 员 远程 访 
问 数据 库 ， 可 在 上 面 的 初始 化 操作 中 设置 策略 ， 以 允许 root 管 
理 员 从 远程 访问 。 然 后 还 需要 设置 防火 墙 ， 使 其 放行 对 数据 库 
服务 程序 的 访问 请 求 ， 数 据 库 服 务 程序 默认 会 占用 3306 端 口 ， 
在 防火 墙 策 略 中 服务 名 称 统一 叫 作 mysql: 

















[root@linuxprobe ~]# firewall-cmd --permanent --add-ser 
vice=mysql 


success 
[root@linuxprobe ~]# firewall-cmd --reload 


success 





一 切 准 备 就 绪 。 现 在 我 们 将 衣 次 登录 MariaDB 数 据 库 。 其 
中 ，-u 参 数 用 来 指定 以 root 管 理 员 的 吴 份 登录 ， 而 -p 人 参数 用 来 
验证 该 用 户 在 数据 库 中 的 密码 值 。 


[root@linuxprobe ~]# mysql -u root -p 

Enter password: 此 处 输入 root 管 理 员 在 数据 库 中 的 密码 
Welcome to the MariaDB monitor. Commands end with ; or 
Mg. 

Your MariaDB connection id is 5 

Server version: 5.5.35-MariaDB MariaDB Server 
Copyright (c) 2000, 2013, Oracle, Monty Program Ab and 
others. 

Type 'help;' or ‘\h' for help. Type 'Nc' to clear the c 
urrent input statement. 

MariaDB [(none)]» 





在 登录 MariaDB 数 据 库 后 执行 数据 库 命 令 时 ， 都 需要 在 命 
令 后 面 用 分 号 G) 结尾 ， 这 也 是 与 Linux 命 令 最 显著 的 区 别 。 
大 家 需要 慢 慢 习惯 数据 库 命 令 的 这 种 设 定 。 下 面 执行 如 下 命令 
得 看 数据 库 管 理 系统 中 当前 都 有 哪些 数据 库 : 


























MariaDB [(none)]> SHOW databases; 


| Database | 


| information_schema | 


| mysql | 
| performance schema | 


3 rows in set (0.01 sec) 





小 试 牛刀 过 后 ， 接 下 来 使 用 数据 库 命 令 将 root 省 理 员 在 数 
据 库 管理 系统 中 的 密码 值 修改 为 linuxprobe。 这 样 退出 后 再 笠 
试 登录 ， 如 果 还 坚持 输入 原先 的 密码 ， 则 将 提示 访问 失败 。 





MariaDB [(none)]» SET password = PASSWORD('linuxprobe' ) 


3 
Query OK, © rows affected (0.00 sec) 
MariaDB [(none)]> exit 


Bye 

[root@linuxprobe ~]# mysql -u root -p 

Enter password: 此 处 输入 root 管 理 员 在 数据 库 中 的 新 密码 

ERROR 1045 (28000): Access denied for user ‘root'@'loca 
lhost' (using password: YES) 





18.3 ”管理 账户 以 及 授权 





在 生产 环境 中 总 不 能 一 直 “ 死 哺 拉 oot 管 理 员 。 为 了 保障 数 
据 库 系统 的 安全 性 ， 以 及 让 其 他 用 户 协同 管理 数据 库 ， 我 们 可 
以 在 MariaDB 数 据 库 管 理 系 统 中 为 他 们 创建 多 个 专用 的 数据 库 
管理 账户 ， 然 后 再 分 配合 理 的 权限 ， 以 满足 他 们 的 工作 需求 。 
为 此 ， 可 使 用 root 管 理 员 登录 数据 库 管 理 系统 ， 然 后 按 
H@“CREATE USER 用 户 名 @ 主 机 名 IDENTIFIED BY ' 密 码 '; 
”的 格式 创建 数据 库 管 理 账户 。 再 次 提醒 大 家 ， 一 定 不 要 忘记 
每 条 数据 库 命 令 后 面 的 分 号 G) 。 

















MariaDB [(none)]» CREATE USER luke@localhost IDENTIFIED 
BY 'linuxprobe'; 
Query OK, 0 rows affected (0.00 sec) 


创建 的 账户 信息 可 以 使 用 select 命 令 语句 来 查询 。 下 面 命 
令 碍 询 的 是 账户 luke 的 主机 名 称 、 账 户 名 称 以 及 经 过 加 蜜 的 密 
人 码 值 信 息 : 








MariaDB [(none)]> use mysql 

Reading table information for completion of table and c 
olumn names 

You can turn off this feature to get a quicker startup 
with -A 

Database changed 

MariaDB [mysql]» SELECT HOST,USER,PASSWORD FROM user WH 


ERE USER-2"luke"; 


| localhost | luke | *55D9962586BE75F4B7D421E6655973DBO 
7D6869F | 





不 过 ， 用 户 luke 仅 仅 是 一 个 普通 账户 ， 没 有 数据 库 的 任何 
操作 权限 。 不 信和 的 话 ， 可 以 切换 到 ]uke 账 户 来 查询 数据 库 管理 
系统 中 当前 都 有 哪些 数据 库 。 可 以 有 发现 ， 该 账 尸 其 至 没 法 查看 
完整 的 数据 库 列表 (刚才 使 用 root 账 户 时 可 以 查看 到 3 个 数据 库 
WHE) : 











MariaDB [mysql]» exit 

Bye 

[root@linuxprobe ~]# mysql -u luke -p 

Enter password: 此 处 输入 Luke 账 户 的 数据 库 密码 

Welcome to the MariaDB monitor. Commands end with ; or 
Mg. 

Your MariaDB connection id is 6 


Server version: 5.5.35-MariaDB MariaDB Server 

Copyright (c) 2000, 2013, Oracle, Monty Program Ab and 
others. 

Type 'help;' or ‘\h' for help. Type ‘\c' to clear the c 
urrent input statement. 

MariaDB [(none)]» SHOW databases; 


| Database | 


1 row in set (0.03 sec) 





数据 库 管 理 系统 所 使 用 的 命令 一 般 都 比较 复杂 。 我 们 以 
grant 命 令 为 例 进行 说 明 。grant 命 令 用 于 为 账户 进行 授权 ， 其 常 
见 格式 如 表 18-1 所 示 。 在 使 用 grant 命 令 时 需要 写 上 要 赋予 的 权 
限 、 数 据 库 及 表单 名 称 ， 以 及 对 应 的 账户 及 主机 信息 。 其 实 ， 
只 要 理解 了 命令 中 每 个 字段 的 功能 含义 ， 也 就 不 觉得 命令 复杂 
MET T. 














4218-1 。 ”GRANT 命令 的 常见 格式 以 及 解释 











GRANT 权限 ON 数据 库 .表单 名 称 T0 账 户 | 对 某 个 特定 数据 库 中 的 特定 表单 给 予 授 
名 @ 主 机 名 





























GRANT 权限 ON 数据 库 





名 


对 所 有 数据 库 及 所 有 表单 给 予 授权 











GRANT 权限 1, 权 限 2 ON 数据 库 .*TO0 | 对 某 个 数据 库 中 的 所 有 表单 给 予 多 个 授 
账户 名 @ 主 机 名 权 











GRANT ALL PRIVILEGES ON *.*TO | 对 所 有 数据 库 及 所 有 表单 给 予 全 部 授权 


账户 名 @ 主 机 名 ( 需 谨慎 操作 ) 








当然 ， 账 尸 的 授权 工作 肯定 是 需要 数据 库 管 理 员 来 执行 
的 。 下 面 以 root 管 理 员 的 号 份 登录 到 数据 库 管 理 系统 中 ， 针 对 
mysql 数 据 库 中 的 user 表 单 辐 账户 luke 授 予 查 询 、 更 新 、 删 除 以 
及 插入 等 权限 。 


[root@linuxprobe ~]# mysql -u root -p 

Enter password: 此 处 输入 root 管 理 员 在 数据 库 中 的 密码 

MariaDB [(none)]> use mysql; 

Reading table information for completion of table and c 
olumn names 

You can turn off this feature to get a quicker startup 

with -A 

Database changed 

MariaDB [mysql]» GRANT SELECT,UPDATE,DELETE, INSERT ON m 
ysql.user TO luke@localhost; 

Query OK, 0 rows affected (0.00 sec) 














在 执行 完 上 述 授权 操作 之 后 ， 我 们 再 查看 一 下 账户 luke 的 
权限 : 





MariaDB [(none)]> SHOW GRANTS FOR luke@localhost; 


| GRANT USAGE ON *.* TO 'luke'Q'localhost' IDENTIFIED B 
Y PASSWORD '*55D9962586 

BE75F4B7D421E6655973DB@7D6869F ' | 

| GRANT SELECT, INSERT, UPDATE, DELETE ON "mysql '.' user 
` TO 'luke'Q'localhost' | 


2 rows in set (0.00 sec) 





上 面 输出 信息 中 显示 账户 luke 已 经 拥有 了 针对 mysql 数 据 库 
中 user 表 单 的 一 系列 权限 了 。 这 时 我 们 再 切换 到 账户 luke， 此 
时 就 能 够 看 到 mysql 数 据 库 了 ， 而 且 还 能 看 到 表单 user CHEK 
单 会 因 无 权限 而 被 继续 隐藏 ) : 














[root@linuxprobe ~]# mysql -u luke -p 








Enter password: 此 处 输入 Luke 用 户 在 数据 库 中 的 密码 
MariaDB [(none)]» SHOW DATABASES; 


porte oe cesses eee + 
| Database | 
——— ' eos + 
| information_schema | 
| mysql | 
下 + 


2 rows in set (0.01 sec) 

MariaDB [(none)]» use mysql 

Reading table information for completion of table and c 
olumn names 

You can turn off this feature to get a quicker startup 


with -A 
Database changed 
MariaDB [mysql]» SHOW TABLES; 


poe teeter oe + 
| Tables in mysql | 
queni eee hoa atii * 
| user | 
qued ieri ie ee + 


1 row in set (0.01 sec) 
MariaDB [mysql]» exit 
Bye 











大 家 不 要 心急 ， 我 们 接 下 来 会 慢 慢 学 习 数 据 库 内 容 的 修改 
方法 。 当 前 ， 先 切换 回 root 账 户 ， 移 除 刚才 的 授权 。 


[root@linuxprobe ~]# mysql -u root -p 

Enter password: 此 处 输入 root 管 理 员 在 数据 库 中 的 密码 

MariaDB [(none)]> use mysql; 

Reading table information for completion of table and c 
olumn names 

You can turn off this feature to get a quicker startup 


with -A 

Database changed 

MariaDB [(none)]» REVOKE SELECT,UPDATE,DELETE,INSERT ON 
mysql.user FROM luke@ 

localhost; 

Query OK, 0 rows affected (0.00 sec) 





可 以 看 到 ， 除 了 移 除 授权 的 命令 Cevoke) 与 授权 命令 
(grant) 不 同 之 外 ， 其 余部 分 都 是 一 致 的 。 这 不 仅 好 记 而 且 也 
容易 理解 。 执 行 移 除 授权 命令 后 ， 再 来 查看 账户 luke 的 信息 : 

















MariaDB [ (none) ]>SHOW GRANTS FOR luke@localhost; 


| GRANT USAGE ON *.* TO 'luke'Q'localhost' IDENTIFIED B 
Y PASSWORD '*55D9962586 
BE75F4B7D421E6655973DB07D6869F' | 





1 row in set (0.00 sec) 


18.4 创建 数据 库 与 表单 








在 MariaDB 数 据 库 管 理 系统 中 ， 一 个 数据 库 可 以 存放 多 个 
数据 表 ， 数 据 表单 是 数据 库 中 最 重要 最 核心 的 内 容 。 我 们 可 以 
根据 自己 的 需求 自 定 义 数据 库 表 结构 ， 然 后 在 其 中 合理 地 存放 
数据 ， 以 便 后 期 轻松 地 维护 和 修改 。 表 18-2 罗 列 了 后 文中 将 使 

用 到 的 数据 库 命 令 以 及 对 应 的 作用 。 











表 18-2 用 于 创建 数据 库 的 命令 以 及 作用 






































UPDATE 表 单 名 称 SET attribute= 新 值 WNHERE attribute&gt; 


更 新 表单 中 的 数据 
原始 值 


显示 当前 已 有 的 数据 
SHOW databases 
库 








显示 当前 数据 库 中 的 
表单 


SHOW tables 


从 表单 中 选中 某 个 记 
TH 











SELECT * FROM 表单 名 称 








从 表单 中 删除 茶 个 记 
录 值 


DELETE FROM 表 单 名 WHERE attribute= 值 








建 并 数据 库 是 管理 数据 的 起 点 。 现 在 尝试 创建 一 个 名 为 
linuxprobe 的 数据 库 ， 然 后 再 查看 数据 库 列 表 ， 此 时 就 能 看 到 
el: 

MariaDB [(none)]» CREATE DATABASE linuxprobe; 


Query OK, 1 row affected (0.00 sec) 
MariaDB [(none)]» SHOW databases; 


information schema | 
linuxprobe | 
mysql | 
performance schema | 





rows in set (0.04 sec) 


要 想 创 建 数据 表单 ， 需 要 先 切换 到 某 个 指定 的 数据 库 中 。 
比如 在 新 建 的 linuxprobe 数 据 库 中 创建 表单 mybook， 然 后 进行 
表单 的 初始 化 ， 即 定义 存储 数据 内 容 的 结构 。 我 们 分 别 定义 3 
个 字段 项 ， 其 中 ， 长 度 为 15 个 字符 的 字符 型 字段 name 用 来 存 
放 图 书 名 称 ， 整 型 字段 price 和 pages 分 别 存 储 图 书 的 价格 和 页 
数 。 当 执行 完 下 述 命令 之 后 ， 就 可 以 看 到 表单 的 结构 信息 了 : 





MariaDB [(none)]> use linuxprobe; 
Database changed 
MariaDB [linuxprobe]> CREATE TABLE mybook (name char(15 
),price int,pages int); 
Query OK, 0 rows affected (0.16 sec) 
[linuxprobe]» DESCRIBE mybook; 
---------- +------+-----+---------+-------+ 


| Null | Key | Default | Extra | 


char(15) | YES 
int(11) | YES 
int(11) | YES 





rows in set (0.02 sec) 


18.5 ”管理 表单 及 数据 


接 下 来 癌 mybook 数 据 表 单 中 插 一 条 图 书信 息 。 为 此 需要 
使 用 INSERT 命 令 ， 并 在 命令 中 写 清 表单 名 称 以 及 对 应 的 字段 
项 。 执 行 该 命令 之 后 即 可 完成 图 书写 入 信息 。 下 面 我 们 使 用 该 
命令 插入 一 条 图 书信 息 ， 其 中 书 名 为 linuxprobe， 价 格 和 页 数 
分 别 是 60 元 和 518 页 。 在 命令 执行 后 也 就 意味 着 图 书信 息 已 经 
成 功 写 入 到 数据 表单 中 ， 然 后 就 可 以 查询 表单 中 的 内 容 了 。 我 
们 在 使 用 select 命 令 人 查询 表单 内 容 时 ， 需 要 加 上 想 要 但 询 的 字 
段 ， 如 有 果 想 查看 表单 中 的 所 有 内 容 ， 则 可 以 使 用 星 号 (*) 通 
配 符 来 显示 : 


























MariaDB [linuxprobe]> INSERT INTO mybook(name, price, pag 
es) VALUES('linuxprobe', 

'60', '518'); 

Query OK, 1 row affected (0.00 sec) 

MariaDB [linuxprobe]» SELECT * FROM mybook; 


| linuxprobe | 60 | 518 | 
p-2----2212-2l2-. pel 4 + 
1 rows in set (0.01 sec) 





Missale di 需要 做 好 四 门 功 谍 一 一 增 、 删 、 
改 、 查 。 这 意味 着 创建 数据 表单 并 在 其 中 插入 内 容 仅 仅 是 第 一 





步 ， 还 需要 掌握 数据 表单 内 容 的 修改 方法 。 例 如 ， 我 们 可 以 使 
用 update 命 令 将 刚才 插入 的 linuxprobe 图 书信 息 的 价格 修改 为 55 
元 ， 然 后 在 使 用 select 命 令 查看 该 图 书 的 名 称 和 定价 信息 。 注 
意 ， 因 为 这 里 只 查看 图 书 的 名 称 和 定价 ， 而 不 涉及 页 码 ， 所 以 
无 顷 再 用 星 号 通配符 来 显示 所 有 内 容 。 




















MariaDB [linuxprobe]» UPDATE mybook SET price=55 ; 
Query OK, 1 row affected (0.00 sec) 

Rows matched: 1 Changed: 1 Warnings: @ 

MariaDB [linuxprobe]» SELECT name,price FROM mybook; 





1 row in set (0.00 sec) 


我 们 还 可 以 使 用 delete 命 令 删 除 某 个 数据 表单 中 的 内 容 。 
下 面 我 们 使 用 delete 命 令 删 除数 据 表单 mybook 中 的 所 有 内 容 ， 
然后 再 查看 该 表单 中 的 内 容 ， 可 以 发 现 该 表单 内 容 为 空 了 。 





MariaDB [linuxprobe]> DELETE FROM mybook; 
Query OK, 1 row affected (0.01 sec) 


MariaDB [linuxprobe]» SELECT * FROM mybook; 
Empty set (0.00 sec) 








一 般 来 讲 ， 数 据 表单 中 会 存放 成 干 上 万 条 数据 信息 。 比 如 
我 们 刚刚 创建 的 用 于 保存 图 书信 息 的 mybook 表 单 ， 随 着 时 间 








的 推移 ， 里 面 的 图 书信 息 也 会 越 来 越 多 。 在 这 样 的 情况 下 ， 如 
果 我 们 只 想 查 看 其 价格 大 于 某 个 数值 的 图 书 时 ， 又 该 如 何 定义 
查询 语句 呢 ? 











下 面 先 使 用 insert 插 入 命令 依次 插入 4 条 图 书信 息 


MariaDB [linuxprobe]> INSERT INTO mybook(name, price, pag 
es) VALUES('linuxprobe1', 

'30', '518'); 

Query OK, 1 row affected (0.05 sec) 

MariaDB [linuxprobe]» INSERT INTO mybook(name,price,pag 
es) VALUES('linuxprobe2', 

'5Q', '518'); 

Query OK, 1 row affected (0.05 sec) 

MariaDB [linuxprobe]» INSERT INTO mybook(name,price,pag 
es) VALUES('linuxprobe3', 

'80', '518'); 

Query OK, 1 row affected (0.01 sec) 

MariaDB [linuxprobe]» INSERT INTO mybook(name,price,pag 
es) VALUES('linuxprobe4', 

'100', '518'); 

Query OK, 1 row affected (0.00 sec) 











要 想 让 查询 结果 更 加 精准 ， 束 需要 结合 使 用 select 与 where 








ls 其 中 ，where 命 令 是 在 数据 库 中 进行 匹配 查 询 的 条 件 
命令 。 通 过 设置 查询 条 件 ， 束 可 以 仅 查 找 出 符合 该 条 件 的 数 





据 。 表 18-3 列 出 了 where 命 令 中 常用 的 查询 参数 以 及 作用 。 
表 18-3 ”where 命 令 中 使 用 的 参数 以 及 作用 


| 





参数 作用 


小 于 或 等 于 
在 某 个 范围 内 
搜索 一 个 例子 


现在 进入 动手 环节 。 分 别 在 mybook 表 单 中 查找 出 价格 大 
于 75 元 或 价格 不 等 于 80 元 的 图 书 ， 其 对 应 的 命令 如 下 所 示 。 在 














熟悉 了 这 两 个 得 询 条 件 之 后 ， 大 家 可 以 自行 答 试 精确 得 找 图 书 
名 为 linuxprobe2 的 图 书信 息 。 





SELECT * FROM mybook WHERE price> 


MariaDB [linuxprobe]» 


| linuxprobe3 
| linuxprobe4 | 100 
e ——— pe he rine 


2 rows in set (0.06 sec) 
MariaDB [linuxprobe]» SELECT * FROM mybook WHERE price! 


| linuxprobe1 
| linuxprobe2 
| linuxprobe4 


3 rows in set (0.01 sec) 
MariaDB [mysql]» exit 
Bye 





18.6 ”数据 库 的 备份 及 恢复 


前 文 提 到， 本 书 的 技术 主线 是 Linux 系 统 的 运 维 方向 ， 不 
会 对 数据 库 管理 系统 的 操作 进行 深入 的 讲解 ， 因 此 大 家 掌握 了 
上 面 这 些 基 本 的 数据 库 操作 命令 之 后 束 足 够 了 。 下 面 要 讲解 的 
是 数据 库 的 备份 以 及 恢复 ， 这 些 知识 比较 实用 ， 和 希望 大 家 能 够 
掌握 。 





mysqldump 命 令 用 于 备份 数据 库 数据 ， 格 式 为 “mysqldump 
[参数 ] [数据 库 名 称 ”。 其 中 参数 与 mysql 命 令 大 致 相同 ，-u 参 
数 用 于 定义 登录 数据 库 的 账户 名 称 ，-p 参 数 代 表 和 密码 提示 符 。 
下 面 将 linuxprobe 数 据 库 中 的 内 容 导 出 成 一 个 文件 ， 并 保存 到 
root 管 理 员 的 家 目录 中 : 





[root@linuxprobe ~]# mysqldump -u root -p linuxprobe > 


/root/linuxprobeDB. dump 
Enter password: 此 处 输入 root 管 理 员 在 数据 库 中 的 密码 





然后 进入 MariaDB 数 据 库 管理 系统 ， 彻 底 删 除 linuxprobe 数 
据 库 ， 这 样 mybook 数 据 表 单 也 将 被 彻底 删除 。 然 后 重新 建立 
linuxprobe 数 据 库 : 

MariaDB [(none)]> DROP DATABASE linuxprobe; 


Query OK, 1 row affected (0.04 sec) 
MariaDB [(none)]» SHOW databases; 


| information_schema | 
| mysql | 
| performance schema | 


3 rows in set (0.02 sec) 
MariaDB [(none)]» CREATE DATABASE linuxprobe; 
Query OK, 1 row affected (0.00 sec) 








接 下 来 是 见证 数据 恢复 效果 的 时 刻 ! 使 用 输入 重 定 回 符 把 
刚刚 备份 的 数据 库 文件 导入 到 mysql 命 令 中 ， 然 后 执行 该 命 
令 。 接 下 来 登录 到 MariaDB 数 据 库 ， 束 义 能 看 到 linuxprobe 数 据 
库 以 及 mybook 数 据 表 单 了 。 数 据 库 恢 复 成 功 ! 














[root@linuxprobe ~]# mysql -u root -p linuxprobe < /roo 
t/linuxprobeDB. dump 

Enter password: 此 处 输入 root 管 理 员 在 数据 库 中 的 密码 值 
[root@linuxprobe ~]# mysql -u root -p 

Enter password: 此 处 输入 root 管 理 员 在 数据 库 中 的 密码 值 
MariaDB [(none)]> use linuxprobe; 

Reading table information for completion of table and c 
olumn names 

You can turn off this feature to get a quicker startup 
with -A 

Database changed 

MariaDB [linuxprobe]> SHOW tables; 


| mybook | 


1 row in set (0.05 sec) 
MariaDB [linuxprobe]> DESCRIBE mybook; 


+------- ---------- 4------ 4----- 4--------- +------- + 
| Field | Type | Null | Key | Default | Extra | 
+------- $---------- 4------ 4----- 4--------- 4------- + 
| name | char(15) | YES | | NULL | | 
| price | int(11) | YES | | NULL | | 
| pages | int(11) | YES | | NULL | | 
+------- ---------- 4------ 4----- 4--------- +------- + 


3 rows in set (0.02 sec) 





复习 题 


1. RHEL 7 系统 为 何 选 择 使 用 MariaDB 蔡 代 MySQL 数 据 库 
管理 系统 ? 





答 : 因为 MariaDB 由 开源 社区 进行 维护 ， 且 不 受 丙 业 专 利 
限制 |。 


2. 初始 化 MariaDB 或 MySQL 数 据 库 管理 系统 的 命令 是 什 


答 : 是 mysql_secure_installation 命 令 ， 建 议 每 次 安装 
MariaDB 或 MySQL 数 据 库 管理 系统 后 都 执行 这 条 命令 。 





3. 用 来 查看 已 有 数据 库 或 数据 表单 的 命令 是 什么 ? 











^x. 要 查看 当前 已 有 的 数据 库 列 表 ， 需 执行 SHOW 
databases; 命 令 ; 要 查看 已 有 的 数据 表单 列表 ， 则 需 执 行 SHOW 


tables; 命 令 。 











4. 切换 至 某 个 指定 数据 库 的 命令 是 什么 ? 
答 : 执行 “use 数据 库 名称 ” 命 令 即 可 切换 成 功 。 


5. 在 想 针 对 茶 个 账户 进行 授权 或 取消 授权 操作 ， 应 该 执 





答 : 针对 账户 进行 授权 ， 需 执行 GRANT 命令 ， 取 消 授权 
则 需 执 行 REVOKE 命 令 。 





6. 各 只 想 得 看 nybook 表 单 中 的 name 字 段 ， 应 该 执行 什么 


命令 ? 


答 ， 应 执行 SELECT name FROM mybook 命 令 。 





7. d; AB UE myboolc f. rp fei A T 75701 ET Bei A, 
应 该 执行 什么 命令 ? 


Z: 应 执行 SELECT * FROM mybook WHERE price>75 命 
今 


o 





8.， 要 想 把 linuxprobe 数 据 库 中 的 内 容 导 出 为 一 个 文件 〈 保 
存 到 root 管 理 员 的 家 目录 中 ) ， 应 该 执行 什么 命令 ? 


答 : 应 执行 mysqldump -u root -p linuxprobe > 


/root/linuxprobeDB.dumpfti 4 « 


第 19 章 ”使 用 PXE+Kickstart 无 人 值守 安装 服 
E 
FA 






。 无 人 值守 安装 系统 


部 车 相关 服务 程序 ; 





HAREA 3m EDL 





刚 入职 的 运 维新 手 经 常会 被 要 求 去 做 一 些 安装 操作 系统 的 
工作 。 如 果 按 照 第 1 章 讲 解 的 用 光盘 镜像 来 安装 操作 系统 ， 其 
效率 会 相当 低下 。 本 章 将 介绍 可 以 实现 无 人 值守 安装 服务 的 
PXE+Kickstart 服 务 程序 ， 并 市 领 大 家 动手 安装 部 署 PXE + 





TFTP + FTP + DHCP + Kickstart 等 服务 程序 ， 从 而 搭建 出 一 套 
可 批量 安装 Linux 系 统 的 无 人 值守 安装 系统 。 在 学 完 本 章 内 容 
之 后 ， 运 维新 手 就 可 以 避免 枯燥 乏味 的 重复 性 工作 ， 大 大 提供 
系统 安装 的 效率 。 





19.1 无 人 值守 安装 系统 


本 书 在 第 1 章 讲解 了 使 用 光盘 镜像 来 安装 Linux 系 统 的 方 
法 ， 坦 白 讲 ， 该 方法 适用 于 只 安装 少量 Linux 系 统 的 情况 。 如 
果 生 产 环 境 中 有 数 百 台 服 务 器 都 需要 安装 系统 ， 这 种 方式 就 不 
合 时 宜 了 。 这 时 ， 我 们 就 需要 使 用 PXE + TFTP +FTP + DHCP 
+ Kickstart 服 务 搭建 出 一 个 无 人 值守 安装 系统 。 这 
安装 系统 可 以 自动 地 为 数 十 台 服 务 器 安装 系统 ， 这 一 方面 将 运 
维 人 员 从 重复 性 的 工作 中 解救 出 来 ， Lee， 




















无 人 值守 安装 系统 的 工作 流程 如 图 19-1 所 示 。 


my 第 1 步 : 请 求 、 分 本 网卡 IP 地 址 
客户 端 SS 
433p: 请 求 、 下 载 应 答 文 件 


图 19-1 无 人 值守 安装 系统 的 工作 流程 










无 人 
ian. Se. 7 值守 
第 2 步 : 请 求 、 获 取 引 导 文 件 系统 





PXE (Preboot eXecute Environment， 预 启动 执行 环境 ) 是 
由 Intel 公 司 开 发 的 技术 ， 可 以 让 计算 机 通过 网 络 来 启动 操作 系 
统 《〈 前 提 是 计算 机 上 安装 的 网 卡 文 持 PXE 技 术 ) ， 主 要 用 于 在 
无 人 机 值守 安装 系统 中 引导 客户 端 主机 安装 Linux 操 作 系 统 。 











Kickstart 是 一 种 无 人 值守 的 安装 方式 ， 其 工作 原理 是 预先 把 原 
本 需要 运 维 人 员 手 工 填写 的 参数 保存 成 一 个 ks.cfg 文 件 ， 当 安 
装 过 程 中 需要 填写 参数 时 则 自动 匹配 Kickstart 生 成 的 文件 。 所 
以 只 要 Kickstart 文 件 包 含 了 安装 过 程 中 需要 人 工 填写 的 所 有 参 
数 ， 那 么 从 理论 上 来 讲 完全 不 需要 运 维 人 员 的 和 干预， 就 可 以 自 
动 完成 安装 工作 。TFTP、FTP 以 及 DHCP 服 务 程序 的 配置 与 部 
罩 已 经 在 第 11 章 和 第 14 章 进行 了 详细 讲解 ， 这 里 不 再 痪 述 。 











由 于 当前 的 客户 器 主机 并 没有 完整 的 操作 系统 ， 也 就 不 能 
完成 FIP 协 议 的 验证 了 ， 上 所 以 需要 使 用 TFTP 协 议 帮 助 客户 端 获 
取 引 导 及 驱动 文件 。vsftpd 服 务 程序 用 于 将 完整 的 系统 安装 锁 
像 通过 网 络 传输 给 客户 端 。 当 然 ， 只 要 能 将 系统 安装 镜像 成 功 
传输 给 客户 问 即 可 ， 因 此 也 可 以 使 用 httpd 来 谷 代 vsftpd 服 务 程 
序 。 











19.2 ”部 署 相 关 服 务 程序 


19.2.1 配置 DHCP 服 务 程序 


DHCP 服 务 程序 用 于 为 客户 端 主机 分 配 可 用 的 耳 地 址 ， 而 
且 这 是 服务 器 与 客户 端 主机 进行 文件 传输 的 基础 ， 因 此 我 们 先 
行 配 置 DHCP 服 务 程序 。 首 先 按照 表 19-1 为 无 人 值守 系统 设置 
IP 地 址 ， 然 后 按照 图 19-2 和 图 19-3 在 虚拟 机 的 虚拟 网 络 编辑 器 
中 关闭 自身 的 DHCP 服 务 。 

















表 19-1 ”无 人 值守 系统 与 客户 端的 设置 
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(E) RHEL7-1 - VMware Worksta 
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图 19-2 ”打开 虚拟 机 的 虚拟 网 络 编辑 器 





类 型 外 部 连接 
桥接 模式 “自动 桥接 


NAT 模式 NAT 模式 











VMnet 入 息 
© HBA AA BSS) hw) 


BBM: 自动 
O NAT 醒 式 (与 虚拟 机 共享 主机 的 让 地 址 )N) 
© 仅 主 机 模式 (在 专用 网 络 内 连接 虚拟 机 )(H) 
回 将 主机 虚拟 适 村 器 连接 到 此 网 络 (V) 
主机 虚拟 适配器 名 称 : 


子 网 接 码 (M): 255.255.255. 0 


还 原 默 认 设 置 (R) | 取消 


Frm: 12.18.75. 





图 19-3 ”关闭 虚拟 机 目 市 的 DHCP 服 务 


当 挂 载 好 光盘 镜像 并 把 Yum 仓 库 文件 配置 妥当 后 ， 就 可 以 
安装 DHCP 服 务 程序 软件 包 了 。 





[root@linuxprobe ~]# yum install dhcp 

Loaded plugins: langpacks, product-id, subscription-man 
ager 

This system is not registered to Red Hat Subscription M 
anagement. You can use 

subscription-manager to register. 

rhel | 4.1 kB 00:00 


Resolving Dependencies 

--> Running transaction check 

---» Package dhcp.x86 64 12:4.2.5-27.e17 will be instal 
led 

--> Finished Dependency Resolution 

Dependencies Resolved 


Installing: 


dhcp x86 64 12:4.2.5-27.e17 rhel 506 k 
Transaction Summary 


Install 1 Package 
Total download size: 506 k 
Installed size: 1.4 M 
Is this ok [y/d/N]: y 
Downloading packages: 
Running transaction check 
Running transaction test 
Transaction test succeeded 
Running transaction 
Installing : 12:dhcp-4.2.5-27.e17.x86 64 1/1 
Verifying : 12:dhcp-4.2.5-27.e17.x86 64 1/1 
Installed: 
dhcp.x86 64 12:4.2.5-27.e17 
Complete! 
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法 ， 相 信 各 位 读者 对 相关 的 配置 参数 还 有 一 些 印象 。 但 是 ， 我 








们 在 这 里 使 用 的 配置 文件 与 第 14 章 中 的 配置 文件 有 两 个 主要 区 
别 : 允许 了 BOOTP 引 导 程 序 协 议 ， 旨 在 让 局 域 网 内 暂时 没有 
操作 系统 的 主机 也 能 获取 静态 IP 地 址 ， 在 配置 文件 的 最 下 面 加 
载 了 引导 驱动 文件 pxelinux.0〈 这 个 文件 会 在 下 面 的 步 又 中 创 
建 ) ， 其 目的 是 让 客户 端 主机 获取 到 IP 地 址 后 主动 获取 引导 豫 
动 文 件 ， 自 行进 入 下 一 步 的 安装 过 程 。 





[root@linuxprobe ~]# vim /etc/dhcp/dhcpd. conf 

allow booting; 

allow bootp; 

ddns-update-style interim; 

ignore client-updates; 

subnet 192.168.10.0 netmask 255.255.255.0 ( 
option subnet-mask 255.255.255.0; 


option domain-name-servers 192.168.10.10; 
range dynamic-bootp 192.168.10.100 192.168.10.2 


default-lease-time 21600; 
max-lease-time 43200; 
next-server 192.168.10.10; 
filename “pxelinux.0"; 








在 确认 DHCP 服 务 程序 的 参数 都 填写 正确 后 ， 重 新 局 动 该 
服务 程序 ， 并 将 其 添加 到 开机 局 动 项 中 。 这 样 在 设备 下 一 次 重 
局 之 后 ， 在 无 顷 人 工 干 预 的 情况 下 ， 目 动 为 客户 端 主机 安装 系 
统 。 


[root@linuxprobe ~]# systemctl restart dhcpd 





[root@linuxprobe ~]# systemctl enable dhcpd 

In -s '/usr/lib/systemd/system/dhcpd.service' '/etc/sys 
temd/system/multi-user. 

target.wants/dhcpd.service' 





19.2.2 ”配置 TFTP 服 务 程序 


我 们 曾经 在 第 11 章 中 学 习 过 vsftpd 服 务 与 TFTP 服 务 。 
vsftpd 是 一 款 功能 丰富 的 文件 传输 服务 程序 ， 人 允许 用 户 以 匿名 
开放 模式 、 本 地 用 户 模式 、 虚 拟 用 户 模式 来 进行 访问 认证 。 但 
是 ， 当 前 的 客户 端 主机 还 没有 安装 操作 系统 ， 该 如 何 进 行 登 ; 
认证 呢 ? 而 TFTP 作 为 一 种 基于 UDP 协议 的 简单 文件 传输 协 
议 ， 不 需要 进行 用 户 认证 即 可 获取 到 所 需 的 文件 资源 。 因 此 接 
下 来 配置 TFTP 服 务 程序 ， 为 客户 端 主 机 提供 引导 及 驱动 文 
件 。 当 客户 端 主机 有 了 基本 的 驱动 程序 之 后 ， 再 通过 vsftpd 服 
务 程序 将 完整 的 光盘 镜像 文件 传输 过 去 。 
































[root@linuxprobe ~]# yum install tftp-server 

Loaded plugins: langpacks, product-id, subscription-man 
ager 

This system is not registered to Red Hat Subscription M 
anagement. You can use 

subscription-manager to register. 

Resolving Dependencies 

--> Running transaction check 

---» Package tftp-server.x86 64 0:5.2-11.e17 will be in 
stalled 

--» Processing Dependency: xinetd for package: tftp-ser 
ver-5.2-11.e17.x86 64 


--> Running transaction check 

---» Package xinetd.x86 64 2:2.3.15-12.e17 will be inst 
alled 

--» Finished Dependency Resolution 

Dependencies Resolved 


Installing: 

tftp-server x86 64 5.2-11.e17 rhel 44 k 
Installing for dependencies: 

xinetd x86 64 2:2.3.15-12.e17 rhel 128 k 
Transaction Summary 


Install 1 Package (+1 Dependent package) 
Total download size: 172 k 

Installed size: 325 k 

Is this ok [y/d/N]: y 

Downloading packages: 


Total 1.7 MB/s | 172 kB 00:00 
Running transaction check 
Running transaction test 
Transaction test succeeded 
Running transaction 
Installing : 2:xinetd-2.3.15-12.e17.x86 64 1/2 
Installing : tftp-server-5.2-11.e17.x86 64 2/2 
Verifying : 2:xinetd-2.3.15-12.e17.x86 64 1/2 
Verifying : tftp-server-5.2-11.e17.x86 64 2/2 
Installed: 
tftp-server.x86 64 0:5.2-11.e17 


Dependency Installed: 
xinetd.x86 64 2:2.3.15-12.e17 
Complete! 








TFTP 是 一 种 非常 精简 的 文件 传输 服务 程序 ， 它 的 运行 和 

关闭 是 由 xinetd 网 络 守护 进程 服务 来 管理 的 。xinetd 服 务 程序 会 
同时 监 昕 系统 的 多 个 并 口 ， 然 后 根据 用 户 请 求 的 端口 号 调 取 相 
应 的 服务 程序 来 响应 用 户 的 请 求 。 需 要 开局 TFTP 服 务 程 序 ， 
只 需 在 xinetd 服 务 程 序 的 配置 文件 中 把 disable 参 数 改 成 no 就 可 
以 了 。 保 存 配 置 文件 并 退出 ， 然 后 重启 xinetd 服 务 程序 ， 并 将 
其 加 入 到 开机 启动 项 中 《〈 在 RHEL 7 系统 中 ， 已 经 默认 启用 了 
xinetd 服 务 程序 ， 因 此 在 将 其 添加 到 开机 局 动 项 中 的 时 候 没 有 
输出 信息 属于 正常 情况 ) 。 











[root@linuxprobe ~.d]# vim /etc/xinetd.d/tftp 

service tftp 

{ 
socket_type 
protocol 
wait 
user 


dgram 

udp 

yes 

root 
/usr/sbin/in.tftpd 
-s /var/lib/tftpboot 
no 


server 


server_args 

disable 

per_source 11 

cps 100 2 

flags = IPv4 
[root@linuxprobe xinetd.d]# systemctl restart xinetd 
[root@linuxprobe xinetd.d]# systemctl enable xinetd 





TFTP 服 务 程序 默认 使 用 的 是 UDP 协 议 ， 占 用 的 端口 号 为 
69， 所 以 在 生产 环境 中 还 需要 在 firewalld 防 火 墙 管 理工 具 中 写 
入 使 其 永久 生效 的 允许 策略 ， 以 便 让 客户 端 主机 顺利 获取 到 引 
导 文 件 。 





[root@linuxprobe ~]# firewall-cmd --permanent --add-por 
t=69/udp 


success 
[root@linuxprobe ~]# firewall-cmd --reload 
success 





19.2.3 配置 SYSLinux 服 务 程序 








SYSLinux 是 一 个 用 于 提供 引导 加 载 的 服务 程序 。 与 其 说 
SYSLinux 是 一 个 服务 程序 ， 不 如 说 更 需要 里 面 的 引导 文件 ， 
在 安装 好 SYSLinux 服 务 程序 软件 包 后 ，/usr/share/syslinux 目 录 
中 会 出 现 很 多 引导 文件 。 














[root@linuxprobe ~]# yum install syslinux 

Loaded plugins: langpacks, product-id, subscription-man 
ager 

This system is not registered to Red Hat Subscription M 
anagement. You can use 

subscription-manager to register. 

Resolving Dependencies 

--> Running transaction check 

---> Package syslinux.x86 64 0:4.05-8.e17 will be insta 
lled 

--» Finished Dependency Resolution 


Dependencies Resolved 


Installing: 
syslinux x86 64 4.05-8.e17 rhel 1.0 M 
Transaction Summary 


Install 1 Package 
Total download size: 1.0 M 
Installed size: 2.3 M 
Is this ok [y/d/N]: y 
Downloading packages: 
Running transaction check 
Running transaction test 
Transaction test succeeded 
Running transaction 
Installing : syslinux-4.05-8.e17.x86 64 1/1 
Verifying : syslinux-4.05-8.e17.x86 64 1/1 
Installed: 
syslinux.x86 64 0:4.05-8.e17 
Complete! 





我 们 首先 需要 把 SYSLinux 提 供 的 引导 文件 复制 到 TFTP 服 
务 程序 的 默认 目录 中 ， 也 就 是 前 文 提 到 的 文件 pxelinux.0， 这 
样 客 户 端 主机 就 能 够 顺利 地 获取 到 引导 文件 了 。 男 外 在 RHEL 
7 系统 光盘 镜像 中 也 有 一 些 我 们 需要 调 取 的 引导 文件 。 确 认 光 
盘 镜 像 已 经 被 挂 载 到 /media/cdrom 目 录 后 ， 使 用 复制 命令 将 光 
盘 镜 像 中 自 带 的 一 些 引 导 文 件 也 复制 到 TFTP 服 务 程序 的 默认 














目录 中 。 


[root@linuxprobe ~]# cd /var/lib/tftpboot 
[root@linuxprobe tftpboot ]# cp /usr/share/syslinux/pxel 
inux.@ . 


[root@linuxprobe tftpboot |]# cp /media/cdrom/images/pxeb 
oot/{vmlinuz,initrd.img} . 

[root@linuxprobe tftpboot ]# cp /media/cdrom/isolinux/{v 
esamenu.c32,boot.msg} . 





然后 在 TFTP 服 务 程序 的 目录 中 新 建 pxelinux.cfg 目 录 ， 虽 
然 该 目录 的 名 字 带 有 后 级 ， 但 依然 也 是 目录 ， 而 非 文 件 ! 将 系 
统 光 盘 中 的 开机 选项 采 单 复制 到 该 目录 中 ， 并 命名 为 default。 
这 个 default 文 件 就 是 开机 时 的 选项 采 单 ， 如 图 19-4 所 示 。 











Red Hat Enterprise Linux Server, with Linux 3.18.8-123.e17.x865 54 
Red Hat Enterprise Linux Server, with Linux B8-rescue-112e8c5e855941b2974» 


Use the t and 4 keys to change the selection. 
Press 'e' to edit the selected item, or 'c' for a command prompt. 
The selected entry will be started automatically in 5s. 





图 19-4 ”Linux 系 统 的 引导 菜单 界面 


[root@linuxprobe tftpboot |# mkdir pxelinux.cfg 
[root@linuxprobe tftpboot |# cp /media/cdrom/isolinux/is 


olinux.cfg pxelinux.cfg/ 
default 





默认 的 开机 荣 单 中 有 两 个 选项 ， 要 么 是 安装 系统 ， 要 么 是 
对 安装 介质 进行 检验 。 既 然 我 们 已 经 确定 采用 无 人 值守 的 方式 
安装 系统 ， 还 需要 为 每 台 主 机 手动 选择 相应 的 选项 ， 未 免 与 我 
MES CMA ZERO. 相悖 。 现 在 我 们 编辑 这 个 default 广 
件 ， 把 第 1 行 的 default 参 数 修改 为 linux， 这 样 系统 在 开机 时 就 
会 默认 执行 那个 名 称 为 linux 的 选项 了 。 对 应 的 linux 选 项 大 约 在 
64 行 ， 我 们 将 默认 的 光盘 镜像 安装 方式 修改 成 FTP 文 件 传输 方 
式 ， 并 指定 好 光盘 镜像 的 获取 网 址 以 及 Kickstart 必 答 文件 的 获 
BUR E: 





[root@linuxprobe tftpboot ]# vim pxelinux.cfg/default 
1 default linux 
timeout 600 


2 
3 
4 display boot.msg 
5 


6 # Clear the screen when exiting the menu, instead of 
leaving the menu displa yed. 

7 # For vesamenu, this means the graphical background 
is still displayed witho ut 

8 # the menu itself for as long as the screen remains 
in graphics mode. 

9 menu clear 

10 menu background splash. png 


11 
12 
13 
14 
15 
16 
17 
18 
19 
20 
21 
22 
23 
24 
25 
26 
27 
28 
29 
30 
31 
32 
33 
34 
35 
36 
37 
38 
39 
40 
41 
42 
43 
44 
45 
46 


menu title Red Hat Enterprise Linux 7.0 
menu vshift 8 

menu rows 18 

menu margin 8 

#menu hidden 

menu helpmsgrow 15 

menu tabmsgrow 13 


# Border Area 
menu color border * 4300000000 1400000000 none 


# Selected item 
menu color sel © #ffffffff 1400000000 none 


# Title bar 
menu color title © #ff7ba3d0@ 1400000000 none 


# Press [Tab] message 
menu color tabmsg © #ff3a6496 #00000000 none 


# Unselected menu item 
menu color unsel © #84b8ffff 100000000 none 


# Selected hotkey 
menu color hotsel © #84b8ffff 400000000 none 


# Unselected hotkey 
menu color hotkey © #ffffffff #00000000 none 


# Help text 
menu color help 0 #ffffffff #00000000 none 


# A scrollbar of some type? Not sure. 
menu color scrollbar © #ffffffff #ff355594 none 


# Timeout msg 


47 menu color timeout © #ffffffff 100000000 none 

48 menu color timeout msg © #ffffffff 3400000000 none 
49 

50 # Command prompt text 

51 menu color cmdmark © #84b8ffff 3400000000 none 

52 menu color cmdline © :Gffffffff 3400000000 none 

53 

54 # Do not display the actual menu unless the user pr 
esses a key. All that is 

displayed is a timeout message. 

55 

56 menu tabmsg Press Tab for full configuration option 
S on menu items. 

57 

58 menu separator # insert an empty line 

59 menu separator # insert an empty line 

59 menu separator # insert an empty line 

60 

61 label linux 

62 menu label ^Install Red Hat Enterprise Linux 7.0 
63 kernel vmlinuz 

64 append initrd-initrd.img inst.stage2-ftp://192.168. 
10.10 ks-ftp://192.168. 

10.10/pub/ks.cfg quiet 

65 
lene 省 略 部 分 输出 信 sss 





19.2.4 配置 vsftpd 服 务 程序 


在 我 们 这 套 无 人 值守 安装 系统 的 服务 中 ， 光 盘 镜像 是 通过 
FTP 协 议 传输 的 ， 因 此 势必 要 用 到 vsftpd 服 务 程 序 。 当 然 ， 也 
可 以 使 用 httpd 服 务 程序 来 提供 Web 网 站 访问 的 方式 ， 只 要 能 确 











保 将 光盘 镜像 顺利 传输 给 客户 端 主机 即 可 。 如 果 打 算 使 用 Web 
网 站 服务 来 提供 光盘 镜像 ， 一 定 记 得 将 上 面 配 置 文件 中 的 光盘 
镜像 获取 网 址 和 Kickstart 心 答 文 件 获取 网 址 修改 一 下 。 








[root@linuxprobe ~]# yum install vsftpd 

Loaded plugins: langpacks, product-id, subscription-man 
ager 

This system is not registered to Red Hat Subscription M 
anagement. You can use 

subscription-manager to register. 

Resolving Dependencies 

--> Running transaction check 

---> Package vsftpd.x86 64 0:3.0.2-9.e17 will be instal 
led 

--> Finished Dependency Resolution 

Dependencies Resolved 


Installing: 


vsftpd x86 64 3.0.2-9.e17 rhel 166 k 
Transaction Summary 


Install 1 Package 

Total download size: 166 k 
Installed size: 343 k 

Is this ok [y/d/N]: y 
Downloading packages: 
Running transaction check 
Running transaction test 


Transaction test succeeded 
Running transaction 

Installing : vsftpd-3.0.2-9.e17.x86 64 1/1 
Verifying : vsftpd-3.0.2-9.e17.x86 64 1/1 
Installed: 

vsftpd.x86 64 0:3.0.2-9.e17 
Complete! 
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相应 的 服务 程序 添加 到 开机 局 动 项 中 ， 这 样 无 论 是 在 生产 环境 
中 还 是 在 红 帽 认 证 考试 中 ， 都 可 以 在 设备 重 司 之 后 依然 能 提供 
相应 的 服务 。 和 希望 各 位 读者 一 定 养 成 这 个 好 习惯 。 








[root@linuxprobe ~]# systemctl restart vsftpd 
[root@linuxprobe ~]# systemctl enable vsftpd 


ln -s '/usr/lib/systemd/system/vsftpd.service' '/etc/sy 
stemd/system/multi-user. 
target.wants/vsftpd.service' 
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后 ， 把 目录 中 的 光盘 镜像 文件 全 部 复制 到 vsftpd 服 务 程序 的 工 
作 目 录 中 。 


[root@linuxprobe ~]# cp -r /media/cdrom/* /var/ftp 


这 个 过 程 大 约 需 要 3 一 5 分 钟 。 在 此 期 间 ， 我 们 也 别 闲 着 ， 
在 firewalld 防 火 墙 管理 工具 中 写 入 使 FTP 协 议 永 久生 效 的 允许 
策略 ， 然 后 在 SELinux 中 放行 FTP 传 输 : 





[root@linuxprobe ~]# firewall-cmd --permanent --add-ser 
vice=ftp 
success 


[root@linuxprobe ~]# firewall-cmd --reload 


success 
[root@linuxprobe ~]# setsebool -P ftpd_connect_all_unre 


served=on 





19.2.5 ”创建 KickSstart 应 答 文 件 





毕竟 ， 我 们 使 用 PXE + Kickstart 部 署 的 是 一 套 “ 无 人 值守 安 
装 系 统 服务 ”， 而 不 是 “无 人 值守 传输 系统 光盘 镜像 服务 ”， 因 
此 还 需要 让 客户 端 主机 能 够 一 边 获取 光盘 镜像 ， 还 能 够 一 边 自 
动 帮 有 我 们 填写 好 安装 过 程 中 出 现 的 选项 。 简 单 来 说 ， 如 果 生 产 
环境 中 有 100 台 服务 器 ， U MAP Me 那么 
ee 了 的 信息 也 应 该 都 是 相同 的 。 那 
As MM MAE 这 样 ， 在 
无 人 值守 安装 系统 时 ， 可 以 从 这 个 需求 清单 中 找到 相应 的 选项 
值 ， 从 而 免 去 了 手动 输入 之 苗 ， 更 重要 的 是 ， 也 彻底 解放 了 人 
的 干预 ， 彻 底 实现 无 人 值守 上 自动 安装 系统 ， 而 不 是 单纯 地 传输 
系统 光盘 镜像 。 























有 了 上 文 做 铺垫 ， 相 信 大 家 现在 应 该 可 以 猜 到 Kickstart 其 
实 并 不 是 一 个 服务 程序 ， 而 是 一 个 应 答 文件 了 。 是 的 ! 
Kickstart 应 答 文 件 中 包含 了 系统 安装 过 程 中 需要 使 用 的 选项 和 
参数 信息 ， 系 统 可 以 上 自动 调 取 这 个 应 答 文 件 的 内 容 ， 从 而 彻底 














实现 了 无 人 值守 安装 系统 。 那 么 ， 既 然 这 个 文件 如 此 重要 ， 该 
EMERE? 其 实在 root 管 理 员 的 家 目录 中 有 一 个 名 为 
anaconda-ks.cfg 的 文件 ， 它 就 是 应 答 文件 。 下 面 将 这 个 文件 复 
制 到 vsftpd 服 务 程 序 的 工作 目录 中 在 开机 选项 表单 的 配置 文 
件 中 己 经 定义 了 该 文件 的 获取 路 入 ， 也 就 是 vsftpd 服 务 程 序数 
据 目 录 中 的 pub 子 目录 中 ) 。 使 用 chmod 命 令 设 置 该 文件 的 权 
限 ， 确 保 了 所 有 人 都 有 可 读 的 权限 ， 以 保证 客户 端 主机 可 以 顺利 
获取 到 应 答 文件 及 里 面 的 内 容 : 














[root@linuxprobe ~]# cp ~/anaconda-ks.cfg /var/ftp/pub/ 
ks.cfg 
[root@linuxprobe ~]# chmod +r /var/ftp/pub/ks.cfg 


Kickstart VEX fT3F CH RIAA EARS CARRA 
46 行 左右 的 参数 和 注释 内 容 ， 大 家 完全 可 以 通过 参数 的 名 称 及 
介绍 来 快速 了 解 每 个 参数 的 作用 。 刘 遂 老 师 在 这 里 挑选 几 个 比 
较 有 代表 性 的 参数 进行 讲解 ， 其 他 参数 建议 大 家 上 自行 修改 测 
i. 





自 先 把 第 6 行 的 光盘 镜像 安装 方式 修改 成 FIP 协议 ， 仔 细 
填写 好 FTP 服 务 器 的 IP 地 址 ， 并 用 本 地 浏览 器 尝试 打开 下 检查 
有 没有 报错 。 然 后 把 第 21 行 的 时 区 修改 成 上 海 
(Asia/Shanghail)， 最 后 再 把 29 行 的 磁盘 选项 设置 为 清空 所 有 夏 
盘 内 容 并 初始 化 磁盘 : 














[root@linuxprobe ~]# vim /var/ftp/pub/ks.cfg 
1 #version=RHEL7 

# System authorization information 

auth --enableshadow --passalgo=sha512 


2 
3 
4 
5 # Use CDROM installation media 
6 url --url-ftp://192.168.10.10 
7 # Run the Setup Agent on first boot 

8 firstboot --enable 

9 ignoredisk --only-use-sda 

10 # Keyboard layouts 

11 keyboard --vckeymap=us --xlayouts-'us' 

12 # System language 

13 lang en US.UTF-8 

14 

15 # Network information 

16 network --bootproto-dhcp --devicezeno16777728 --onb 
oot=off --ipv6-auto 

17 network --hostname=localhost.localdomain 

18 # Root password 

19 rootpw --iscrypted $6$pDjJf42g8C6pL069$iI.PX/yFaqpo 
OENw2pa7MomkjLyoae2z jMz2 

UZJ7b H3UOAOWtR1.Wk/hxZ3XIGmzGJPcs/MgpYssoi8hPCt8b/ 

20 # System timezone 

21 timezone Asia/Shanghai --isUtc 

22 user --name-linuxprobe --password-$6$a9v3InSTNbweIR 
7D$JegfYWbCdoOokj9sodEccdO. 

zL FAoSH2AZ2ss2R05B6Lz2A0v2K . RjusBALL2FeKQVgf6400a/tok 
6J.7GUtO/ --iscrypted --gecos = 

"linuxprobe" 

23 # X Window System configuration information 

24 xconfig --startxonboot 

25 # System bootloader configuration 

26 bootloader --location=mbr --boot-drive=sda 

27 autopart --type=lvm 


28 # Partition clearing information 
29 clearpart --all --initlabel 
30 

31 %packages 

32 @base 

33 @core 

34 @desktop-debugging 

35 @dial-up 

36 (fonts 

37 @gnome-desktop 

38 @guest-agents 

39 @guest-desktop-agents 

40 @input-methods 

41 @internet-browser 

42 @multimedia 

43 @print-client 

44 @x11 

45 

46 %end 
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产 环境 的 需求 ， 则 可 以 通过 Yum 软 件 仓库 来 安装 system-config- 
kickstart 软 件 包 。 这 是 一 球 图 形 化 的 Kickstart 应 答 文 件 生成 工 
具 ， 可 以 根据 自己 的 需求 生成 自 定义 的 应 答 文 件 ， 然 后 将 生成 
的 文件 放 到 /var/ftp/pub 目 录 中 并 将 名 字 修 改 为 ks.cfg 即 可 。 




















19.3 上 自动 部 团 客 户 端 主机 





在 按照 上 文 讲解 的 方法 成 功 部 署 各 个 相关 的 服务 程序 后 ， 
就 可 以 使 用 PXE + Kickstart 无 人 值守 安装 系统 了 。 在 采用 下 面 
的 步骤 建立 虚拟 主机 时 ， 一 定 要 把 客户 端的 网 卡 模式 设 定 成 与 
服务 端 一 致 的 * 仅 主机 模式 ”， 否 则 两 台 设备 无 法 进行 通信 ， 也 
就 更 别提 自动 安装 系统 了 。 其 余人 硬件 配置 选项 并 没有 强制 性 要 
求 ， 大 家 可 参考 这 里 的 配置 选项 来 设 定 。 














第 1 步 : 打开 “新 建 虚拟 机 癌 导 ”程序 ， 选 择 “ 典 型 (推荐 ) 
”配置 类 型 ， 然 后 单 击 “* 下 一 步 ? 按 钮 ， 如 图 19-5 所 示 。 


新 建 庶 拟 机 向 导 


欢迎 使 用 新 建 虚 拟 机 向 导 


您 希望 使 用 什么 类 型 的 配置 ? 


通过 几 个 简单 的 步 又 创建 Workstation 11.0 
虚拟 机 。 


VMWARE 
WORKSTATION D BEX (SRO) 
创建 带 有 SCSI 控制 异类 型 、 虚 拟 磁盘 类 型 
以 及 与 旧版 VMware 产品 兼容 性 等 高 级 选项 
的 虚拟 机 。 


EEG: 





图 19-5 ”选择 虚拟 机 的 配置 类 型 


第 2 步 : 将 虚拟 机 操作 系统 的 安装 来 源 设置 为 “ 稍 后 安装 操 
作 系 统 ”。 这 样 做 的 目的 是 让 虚拟 机 真正 从 网 络 中 获取 系统 安 
装 镜像 ， 同 时 也 可 避免 VMware Workstation 虚 拟 机 软件 按照 内 
设 的 方法 自行 安装 系统 。 单 击 “ 下 一 步 ? 按 钮 ， 如 图 19-6 所 示 。 











meee 7 TT 0 
安装 客户 机 操作 系统 
虚拟 机 如 同 物理 机 ， 需 要 操作 系统 。 您 将 如 何 安装 窘 户 机 操作 系统 ? 








安装 来 源 : 
© 安装 程序 光盘 (D): 
Á} DVD RW 驱动 器 (D:) 





O 安装 程序 光盘 映像 文件 iso)M): 
| F:\ #22 \RHEL-server-7.0-x86_64-LinuxProbe.Com.isc + | | 浏览 (R).… 











图 19-6 ”设置 虚拟 机 操作 系统 的 安装 来 源 


第 3 步 : 将 “客户 机 操作 系统 ”设置 为 “Red Hat Enterprise 
Linux 7 64 位 ”然后 单 击 “ 下 一 步 ” 按 钮 ， 如 图 19-7 所 示 。 


选择 客户 机 操作 系统 
此 虚拟 机 中 将 安装 哪 种 操作 系统 ? 


客户 机 操作 系统 


© Microsoft Windows(W) 
(9; Linux(L) 

© Novell NetWare(E) 

© Solaris(S) 

© VMware ESX(X) 

O Hih(0) 


版 本 (V) 


Red Hat Enterprise Linux 7 64 位 X 





[< 上 =- 步 B) | (Bem >] | má | 





图 19-7 选择 客户 端 主机 的 操作 系统 
第 4 步 : 对 虚拟 机 进行 命名 并 设置 安装 位 置 。 大 家 可 上 自行 
定义 虚拟 机 的 名 称 ， 而 安装 位 置 则 尽量 选择 磁盘 空间 较 大 的 分 
区 。 然 后 单 击 “ 下 一 步 ” 按 钮 ， 如 图 19-8 所 示 。 


命名 虚拟 机 
您 要 为 此 虚拟 机 使 用 什么 名 称 ? 





虚拟 机 名 称 (VD): 
RHEL7(pxe+kickstart) 


DD): 
F:\VmwareWorkStation\LinuxProbe 


在 编辑 "> 首选 项 中 可 更 改 默认 位 置 。 


[< | (T-sw>)[ m jJ 





图 19-8 ”命名 虚拟 机 并 设置 虚拟 机 的 安装 位 置 


第 5 步 : 指定 磁盘 容量 。 这 里 将 “最 大 磁盘 大 小 ”设置 为 
20GB， 指 的 是 虚拟 机 系统 能 够 使 用 的 最 大 上 限 ， 而 不 是 会 被 
立即 占 满 ， 因 此 设置 得 稍微 大 一 些 也 没有 关系 。 然 后 单 击 “ 下 
一 步 * 按 钮 ， 如 图 19-9 所 示 。 








指定 磁盘 容量 
磁盘 大 小 为 多 少 ? 


虚拟 机 的 硬盘 作为 一 个 或 多 个 文件 存 铺 在 主机 的 物理 磁盘 中 。 这 些 文件 最 初 很 
小 ， 随 着 您 铝 虚拟 机 中 添加 应 用 程序 、 文 件 和 数据 而 逐渐 变 太 。 


最 大 磁盘 大 小 (GB)(5): : 
针对 Red Hat Enterprise Linux 7 64 位 的 建议 大 小 : 20 GB 


Yael i fi AiO) 


© 将 虚拟 磁盘 拆 分 成 多 个 文件 (M) 
可 以 更 轻 检 地 在 计算 机 之 间 移 动 虚拟 机 ， 但 可 能 会 降低 大 容量 磁盘 的 
EB o 


图 19-9 ”将 磁盘 容量 指定 为 20GB 





第 6 步 : 结束 “新 建 庶 拟 机 回 导 程序 "后 ， 先 不 要 着 急 打 开 
虚拟 机 系统 。 大 家 还 需要 单 击 图 19-10 中 的 “ 目 定 义 硬 件 ” 按 
钮 ， 在 弹出 的 如 图 19-11 所 示 的 界面 中 ， 把 “网 络 适配器 ”设备 
同样 也 设置 为 “ 仅 主机 模式 ”( 这 个 步骤 非常 重要 ) ， 然 后 单 
击 “ 确 定 ” 按 钮 。 





mame TO 
| “已 准备 好 创建 虚拟 机 
单 击 完成 “创建 虚拟 机 。 然 后 可 以 安装 Red Hat Enterprise Linux 6 64 位 。 








将 使 用 下 列 设置 创建 虚拟 机 : 


名 称 : RHEL7(pxe+kickstart) 

位 置 : F:\VmwareWorkStation\LinuxProbe 
版 本 : Workstation 11.0 

操作 系统 : Red Hat Enterprise Linux 7 64 位 


硬盘 : 20 GB, 拆 分 
内 存 : 2048 MB 


网 络 适 配器 : NAT 





其 他 设备 : CD/DVD, USB 控制 器 , 打印 机 , 声卡 








图 19-10 ” 单 击 虚 拟 机 的 “ 目 定 义 硬 件 ?按钮 











内 存 
i em: 内 存 太 小 必须 为 4 MB 


此 虚拟 机 的 内 存 (M): 2048 $| MB 


64 GB 

32 GB 

16 GB 

se | q B 最 大 建议 内 丰 
4GB (超出 此 大 小 可 能 
oe ha BEMP.) 


1G 6336 MB 


512 MB 
256 MB 
128 MB 


64 MB 建议 的 最 小 客户 机 操作 系统 内 存 


32MB 1024 MB 
16 MB 


8 MB 
4MB 


建议 内 存 
2048 MB 


D 虚拟 机 最 多 将 此 内 存 的 768 MB 用 作 图 形 内 存 。 您 可 以 
在 显示 性 设置 页 面 中 更 改 此 数量 。 














BHR) 

















图 19-11 设置 虚拟 机 网 络 适配器 设备 为 仅 主机 模式 


现在 ， 我 们 就 同时 准备 好 了 PXE + Kickstart 无 人 值守 安装 
系统 与 虚拟 主机 。 在 生产 环境 中 ， 大 家 只 需要 将 配置 妥当 的 服 
务 器 上 架 ， 接 通 服务 器 和 客户 端 主机 之 间 的 网 线 ， 然 后 启动 客 
户 端 主机 即 可 。 接 下 来 就 会 按照 图 19-12 和 图 19-13 那 样 ， 开 始 
ata 自动 安装 了 一 一 期 间 完 全 无 须 人 工 干 
， 直 到 安装 完毕 时 才 需 要 运 维 人 员 进 行 简单 的 初始 化 工作 。 








图 19-12 ” 目 动 传输 光盘 镜像 文件 并 安装 系统 







CONFIGURATION RED HAT ENTERPRISE LINUX 7.0 INSTALLATION 


redhat 
bee Bus 


USER SETTINGS 


@ USER CREATION 





No user will be created 


MANAGE MORE. STRESS LESS. 
RED HAT SATELLITE 


图 19-13 ”自动 安装 系统 ， 无 须 人 工 干 预 


由 此 可 见 ， 当 生产 环境 工作 中 有 数 百 合 服务 器 需要 批量 安 
装 系 统 时 ， 使 用 无 人 值守 安装 系统 的 便捷 性 是 不 言 而 喻 的 。 








复习 题 
1， 部 署 无 人 值守 安装 系统 ， 需 要 用 到 哪些 服务 程序 ? 


Tt: 需要 用 到 SYSLinux 引 导 服 务 、DHCP 服 务 、vsftpd 文 
件 传 输 服务 〈 或 httpd 网 站 服务 ) 、TEFTP 服 务 以 及 KickStart 尽 
EOF e 


2. 7£ Vmware Workstation 虚 拟 机 软件 中 ，DHCP 服 务 总 是 
分 配 错误 IP 地 址 的 原因 可 能 是 什么 ? 





答 : 虚拟 机 的 虚拟 网 络 编辑 器 中 目 带 的 DHCP 服 务 可 能 没 
有 关闭 ， 由 此 产生 了 错误 分 配 IP 地 址 的 情况 。 


3. 如 何 启 用 TFTP 服 务 ? 


Tt: 需要 在 xinetd 服 务 程序 的 配置 文件 中 把 disable 参 数 改 
成 no。 


4. 成 功 安装 SYSLinux 服 务 程序 后 ， 可 以 在 哪个 目录 中 找 
Sl 


答 : 在 安装 好 SYSLinux 服 务 程序 软件 包 后 ， 
在 /usr/share/syslinux 目 录 中 会 出 现 很 多 引导 文件 。 








5. 在 开机 选项 菜单 文件 中 ， 把 default 参 数 设 置 成 linux 的 
作用 是 什么 ? 





答 : 目的 是 让 系统 目 动 开始 安装 过 程 ， 而 不 需要 运 维 人 员 
再 去 选择 是 安装 系统 还 是 校 验 镜像 文件 。 


6. 安 疤 vsftpd 文件 传输 服务 或 httpd 网 站 服务 的 作用 是 什 


人 么 ? 
答 : 把 光盘 镜像 文件 完整 、 顺 利 地 传送 到 客户 端 主机 。 


7. Kickstart 心 答 文 件 的 作用 是 什么 ? 








答 : Kickstart 应 管 文件 中 包含 了 系统 安装 过 程 中 需要 使 用 
的 选项 和 参数 信息 ， 客 户 端 主机 在 安装 系统 的 过 程 中 可 以 目 动 
调 取 这 个 应 答 文 件 的 内 容 ， 从 而 彻 夺 实 现 无 人 值守 安装 系统 。 








第 20 章 ”使 用 LNMP 架 构 部 署 动态 网 站 环境 







源码 包 程 序 ; 
。 LNMP 动 态 网 站 架构 ; 
e 搭建 Discuz! 论 坛 ; 


选 购 服务 器 主机 。 





LNMP 动 态 网 站 部 间架 构 是 一 套 由 Linux + Nginx + MySQL 
+ PHP 组 成 的 动态 网 站 系统 解决 方案 ， 具 有 人 和 免费、 高 效 、 扩 展 











性 强 且 资源 消耗 低 等 优良 特性 。 本 章 首先 对 比 了 使 用 源码 包 安 
装 服务 程序 与 使 用 RPM 软件 包 安 装 服 务 程序 的 区 别 ， 然 后 讲解 
了 如 何 手工 编译 源码 包 并 安装 各 个 服务 程序 ， 以 及 如 何 使 用 
Discuz! X3.2 版 本 论坛 系统 验证 架构 环境 。 




















本 章 是 本 书 的 最 后 一 章 内 容 ， 刘 员 老 师 不 仅 希望 各 位 读者 
在 学 完 本 书 之 后 ， 能 够 顺利 找到 满意 的 高 薪 工 作 ， 也 希望 您 能 
利用 书 中 所 学 知识 拱 建 自己 的 博客 或 论坛 系统 ， 并 以 此 为 平 
台 ， 将 自己 工作 中 积 斤 的 Linux 经 验 以 及 技巧 分 享 给 更 多 人 ， 
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20.1 源码 包 程 序 


本 书 第 1 章 中 曾经 讲 到 ， 在 RPM 〈 红 帽 软件 包 管 理 器 ) 技 
术 出 现 之 前 ，Linux 系 统 运 维 人 员 只 能 通过 源码 包 的 方式 来 安 
装 各 种 服务 程序 ， 这 是 一 件 非 常 繁琐 且 极 易 消 耗 时 间 与 耐心 的 
事情 ; 而 且 在 安装 、 升 级 、 利 载 程序 时 还 要 考虑 到 与 其 他 程序 
或 函数 库 的 相互 依赖 关系 ， 这 就 要 求 运 维 人 员 不 仅 要 掌握 更 多 
的 Linux 系 统 理论 知识 以 及 高 超 的 实 操 技能 ， 还 需要 有 极 好 的 
耐心 才能 安装 好 一 个 源码 软件 包 。 考 虑 到 本 书 的 读者 都 是 刚 入 
门 或 准备 入 门 的 运 维新 人 ， 因 为 本 书 在 前 面 的 章节 中 一 直 都 是 
采用 Yum 软 件 仓 库 的 方式 来 安装 服务 程序 。 但 是 ， 现 在 依然 有 
很 多 软件 程序 只 有 源码 包 的 形式 ， 如 果 我 们 只 会 使 用 Yum 软 件 
仓库 的 方式 来 安装 程序 ， 则 面 对 这 些 只 有 源码 包 的 软件 程序 
时 ， 将 充满 无 力 感 ， 要 么 需要 等 到 第 三 方 组 织 将 这 些 软 件 程 序 
编写 成 RPM 软件 包 之 后 再 行使 用 ， 要 么 就 只 能 寻找 相关 软件 程 
序 的 蔡 代 品 了 《而 且 蔡 代 软 件 还 必须 具备 RPM 软件 包 的 形 
式 ) 。 由 此 可 见 ， 如 果 运 维 人 员 只 会 使 用 Yum 软 件 仓库 来 安装 
服务 程序 ， 将 会 形成 知识 短 板 ， 对 日 后 的 运 维 工作 带 来 不 利 。 



























































本 着 不 能 让 目 己 的 读者 在 运 维 工作 中 吃亏 的 想法 ， 刘 遂 老 
师 接 下 来 会 详细 讲解 如 何 使 用 源码 包 的 方式 来 安 效 服 务 程序 。 











其 实 ， 使 用 源码 包 来 安装 服务 程序 具有 两 个 优势 。 





源码 包 的 可 移植 性 非常 好 ， 几 乎 可 以 在 任何 Linux 系 统 中 安 
装 使 用 ， 而 RPM 软 件 包 是 针对 特定 系统 和 架构 编写 的 指令 
集 ， 必 须 严 格 地 符合 执行 环境 才能 顺利 安装 〈 即 只 会 

去 “生硬 地 ?安装 服务 程序 ) 。 

使 用 源码 包 安 闭 服 务 程 序 时 会 有 一 个 编译 过 程 ， 因 此 可 以 
更 好 地 适应 安 六 主机 的 系统 环境 ， 运 行 效率 和 优化 程度 部 
会 强 于 使 用 RPM 软件 包 安 装 的 服务 程序 。 也 就 是 说 ， 可 以 
将 采用 源码 包 安 朔 服务 程 序 的 方式 看 作 是 针对 系统 的 “ 量 

体裁 衣 ”。 

















一 般 来 讲 ， 在 安 六 软件 时 ， 如 果 能 通过 Yum 软 件 仓库 来 安 
X, MAHYA; 反之 则 去 寻找 合适 的 RPM 软件 包 来 安 半 ; 
如 果 是 在 没有 资源 可 用 ， 那 束 只 能 使 用 源码 包 来 安装 了 。 














使 用 源码 包 安 装 服务 程序 的 过 程 看 似 复 人 本， 其 实在 归纳 汇 











总 后 只 需要 4 一 5 个 步骤 即 可 完成 安装 。 刘 六 老师 接 下 来 会 对 每 
一 个 步骤 进行 详解 。 





需要 提前 说 明 的 是 ， 在 使 用 源码 包 安装 程序 时 ， 会 输出 大 量 的 过 








不 作 特 殊 备 注 ， 请 大 家 在 具体 操作 时 以 实际 为 准 。 











第 1 步 : 下 载 及 解压 源码 包 文件 。 为 了 方便 在 网 络 中 传 
输 ， 源 码 包 文 件 通 常会 在 归档 后 使 用 gzip 或 bzip2 等 格式 进行 压 
缩 ， 因 此 一 般 会 具有 .tar.gz 与 .tar.bz2 的 后 级 。 要 想 使 用 源码 包 
安装 服务 程序 ， 必 须 先 把 里 面 的 内 容 解压 出 来 ， 然 后 再 切换 到 
源码 包 文 件 的 目录 中 : 


[root@linuxprobe ~]# cd FileDirectory 

第 2 步 : 编译 源码 包 代 码 。 在 正式 使 用 源码 包 安 闭 服 务 程 
序 之 前 ， 还 需要 使 用 编译 脚本 针对 当前 系统 进行 一 系列 的 评估 
工作 ， 包 括 对 源码 包 文件 、 软 件 之 间 及 函数 库 之 间 的 依赖 关 
系 、 编 译 器 、 汇 编 器 及 连接 器 进行 检查 。 我 们 还 可 以 根据 需要 
来 姐 加 --prefix 参 数 ， 以 指定 和 后 源码 包 程序 的 安 六 路径， 从 而 
对 服务 程序 的 安装 过 程 更 加 可 控 。 当 编译 工作 结束 后 ， 如 果 系 
统 环境 符合 安装 要 求 ， 一 般 会 目 动 在 当前 目录 下 生成 一 个 
Makefile 安 装 文件 。 


[root@linuxprobe ~]# ./configure --prefix=/usr/local/pr 
ogram 


第 3 步 : 生成 二 进 制 安装 程序 。 刚 刚 生 成 的 Makefile 文 件 中 






































会 保存 有 关系 统 环境 、 软 件 依赖 关系 和 安装 规则 等 内 容 ， 接 下 
来 便 可 以 使 用 make 命 令 来 根据 Makefile 文 件 内 容 提 供 的 合适 规 
则 编译 生成 出 真正 可 供用 户 安装 服务 程序 的 二 进 制 可 执行 文件 
I. 


[root@linuxprobe ~]# make 


第 4 步 : 运行 二 进 制 的 服务 程序 安装 包 。 由 于 不 需要 再 检 
租 系 统 环境 ， 也 不 需要 再 编译 代码 ， 因 此 运行 二 进 制 的 服务 程 
序 安 装 包 应 该 是 速度 最 快 的 步骤 。 如 果 在 源码 包 编 译 阶段 使 用 
了 --prefix 参 数 ， 那 么 此 时 服务 程序 就 会 被 安装 到 那个 目录 ， 如 
果 没 有 自行 使 用 参数 定义 目录 的 话 ， 一 般 会 被 默认 安 闭 
fill/usr/local/bin 目录 中 。 


[root@linuxprobe ~]# make install 


第 5 步 : 清理 源码 包 临 时 文件 。 由 于 在 安装 服务 程序 的 过 
程 中 进行 了 代码 编译 的 工作 ， 因 此 在 安装 后 目录 中 会 遗留 下 很 
多 临时 垃圾 文件 ， 本 着 尽量 不 要 浪费 磁盘 存储 空间 的 原则 ， 可 
以 使 用 make clean 命 令 对 临时 文件 进行 彻底 的 清理 工作 。 


[root@linuxprobe ~]# make clean 


估计 有 读者 会 有 疑问 ， 为 什么 通常 是 安装 一 个 服务 程序 ， 




































































源码 包 的 编译 工作 (configure) 与 生成 二 进 制 文件 的 工作 
(make) 会 使 用 这 么 长 的 时 间 ， 而 采用 RPM 软件 包 安 装 就 特 
别 有 效 率 呢 ? 其 实 原 因 很 简单 ， 在 RHCA 认 证 的 RH401 考 试 
中 ， 会 要 求 考生 写 一 个 RPM 软件 包 。 刘 毅 老 师 会 在 本 书 的 进 阶 
篇 中 讲 到 ， 其 实 RPM 软 件 包 就 是 把 软件 的 源码 包 和 一 个 针对 特 
定 系 统 、 架 构 、 环 境 编 写 的 安装 规定 打包 成 一 起 的 指令 集 ， 
此 为 了 让 用 户 都 能 使 用 这 个 软件 包 来 安装 程序 ， 通 常 一 个 软件 
程序 会 发 布 多 种 格式 的 RPM 软 件 包 例 如 i386、x86_64 等 架 
TJ) 来 让 用 户 选 择 。 而 源码 包 的 软件 作者 肯定 希望 自己 的 软件 
能 够 被 安装 到 更 多 的 系统 上 面 ， 能 够 被 更 多 的 用 户 所 了 解 、 使 
用 ， 因 此 便 会 在 编译 阶段 (configure) 来 检查 用 户 当前 系统 的 
情况 ， 然 后 制定 出 一 份 可 行 的 安装 方案 ， 所 以 会 占用 很 多 的 系 
统 资 源 ， 需 要 更 长 的 等 待 时 间 。 












































20.2 LNMP 动 态 网 站 架构 


LNMP 动 态 网 站 部 间架 构 是 一 套 由 Linux + Nginx + MySQL 
+ PHP 组 成 的 动态 网 站 系统 解决 方案 (其 logo 见 图 20-1) 。 
LNMP 中 的 字母 L 是 Linux 系 统 的 意思 ， 不 仅 可 以 是 RHEL、 
CentOS、Fedora， 还 可 以 是 Debian、Ubuntu 等 系统 。 本 书 的 配 
套 站 点 http:Wwww.linuxprobe.com 就 是 基于 LNMP 部 署 出 来 
的 ， 目 前 的 运行 一 直 很 稳定 ， 访 问 速 度 也 很 快 。 


NG 
A en» "S 


图 20-1 LNMP 动 态 网 站 部 署 架构 的 Logo 


在 使 用 源码 包 安 装 服务 程序 之 前 ， 首 先 要 让 安装 主机 具备 
编译 程序 源码 的 环境 ， 他 需要 具备 C 语 言 、C++ 语 言 、Penl 语 言 
的 编译 器 ， 以 及 各 种 常见 的 编译 支持 函数 库 程 序 。 因 此 请 先 配 
置 妥当 Yum 软 件 仓 库 ， 然 后 把 下 面 列 出 的 这 些 软件 包 都 统统 安 
装 上 : 


























[root@linuxprobe ~]# yum install -y apr* autoconf autom 

ake bison bzip2 bzip2* 

compat* cpp curl curl-devel fontconfig fontconfig-devel 
freetype freetype* freetype- 

devel gcc gcc-c++ gd gettext gettext-devel glibc kernel 
kernel-headers keyutils 

keyutils-libs-devel krb5-devel libcom_err-devel libpng 
libpng-devel libjpeg* libsepol- 

devel libselinux-devel libstdc++-devel libtool* libgomp 
libxml2 libxml2-devel libXpm* 

libtifflibtiff* make mpfr ncurses* ntp openssl openssl- 

devel patch pcre-devel perl 

php-common php-gd policycoreutils telnet t1lib t1lib* n 

asm nasm* wget zlib-devel 

Loaded plugins: langpacks, product-id, subscription-man 

ager 

This system is not registered to Red Hat Subscription M 

anagement. You can use 

subscription-manager to register. 


(— 省 上 略 部 分 安装 过 程 ………… 
Installing: 
apr x86 64 1.4.8-3.e17 
rhel7 103 k 
apr-devel x86 64 1.4.8-3.e17 
rhel7 188 k 
apr-util x86 64 1.5.2-6.e17 
rhel7 92 k 
apr-util-devel x86 64 1.5.2-6.e17 
rhel7 76 k 
autoconf noarch 2.69-11.e17 
rhel7 701 k 
automake noarch 1.13.4-3.e17 
rhel7 679 k 
bison x86 64 2.7-4.e17 


rhel7 578 k 


bzip2-devel 


rhel7 218 
compat -dapl 

rhel7 109 
compat -db-headers 

rhel7 48 
compat -db47 

rhel7 795 
compat-gcc-44 

rhel7 10 
compat-gcc-44-c++ 

rhel7 6.3 
compat -glibc 

rhel7 1.2 
compat -glibc-headers 

rhel7 452 
compat-libcap1 

rhel7 19 
compat -libf2c-34 

rhel7 155 
compat -libgfortran-41 

rhel7 142 
compat -libtiff3 

rhel7 135 
compat -openldap 

rhel7 174 
cpp 

rhel7 Bg 
fontconfig-devel 

rhel7 128 
freetype-devel 

rhel7 355 
gcc 

rhel7 16 
gcc-cr 


rhel7 7.1 


x86 64 
x86 64 
noarch 
x86 64 
x86 64 
x86 64 
x86 64 
x86 64 
x86 64 
x86 64 
x86 64 
x86 64 
x86 64 
x86 64 
x86 64 
x86 64 
x86 64 


x86 64 


i2 


.6-12.e17 


.2.19-3.e17 


.25-27.e17 


.25-27.e17 


.7-8.e17 


.7-8.e17 


.12-4.e17 


12-4.e17 


.10-7.e17 


4. 


VL. 


6-32.e17 


2-44.e17 


.9.4-11.e17 


:之 。 


.8 . 


3.43-5.e17 


2-16.e17 


.10.95-7.e17 


.4. 


.8. 


.8. 


11-9.e17 


2-16.e17 


2-16.e17 


Complete, 





刘 遂 老师 已 经 把 安装 LNMP 动 态 网 站 部 署 架 构 所 需 的 16 个 
软件 源码 包 和 1 个 用 于 检查 效果 的 论坛 网 站 系统 软件 包 上 传 到 
与 本 书 配 套 的 站 点 服务 器 上 。 大 家 可 以 在 Windows 系 统 中 下 载 
后 通过 ssh 服 务 传送 到 打算 部 署 LNMP 动 态 网 站 架构 的 Linux 服 
务 器 中 ， 也 可 以 直接 在 Linux 服 务 器 中 使 用 wget 命 令 下 载 这 些 
源码 包 文 件 。 根 据 第 6 章 讲 解 的 FHS 协 议 ， 建 议 把 要 安装 的 软 
件 包 存放 在 /aswvlocalsrc 目 录 中 : 








[root@linuxprobe ~] # cd /usr/local/src 
[root@linuxprobe src] # wget http://www. linuxprobe.com/ 
Software/cmake-2.8.11.2.tar.gz 

[root@linuxprobe src] # wget http://www. linuxprobe.com 
/Software/Discuz X3.2 SC GBK.zip 

[root@linuxprobe src] # wget http://www.linuxprobe.com/ 
Software/freetype-2.5.3.tar.gz 

[root@linuxprobe src] # wget http://www. linuxprobe.com 
/Software/jpegsrc.v9a.tar.gz 

[root@linuxprobe src] # wget http://www. linuxprobe.com/ 
Software/libgd-2.1.0.tar.gz 

[root@linuxprobe src] # wget http: //www.linuxprobe. 
com/Software/libmcrypt-2.5.8.tar.gz 

[root@linuxprobe src] # wget http://www.linuxprobe.com/ 
Software/libpng-1.6.12.tar.gz 

[root@linuxprobe src] # wget http://www. linuxprobe.com 
/Software/libvpx-v1.3.0.tar.bz2 

[root@linuxprobe src] # wget http://www.linuxprobe.com/ 
Software/mysql-5.6.19.tar.gz 

[root@linuxprobe src] # wget http://www.linuxprobe.com/ 


Software/nginx-1.6.0.tar.gz 

[root@linuxprobe src] # wget http: //www.linuxprobe. 
com/Software/openss1-1.0.1h.tar.gz 

[root@linuxprobe src] # wget http://www. linuxprobe.com 
/Software/php-5.5.14.tar.gz 

[root@linuxprobe src] # wget http://www. linuxprobe.com 
/Software/pcre-8.35.tar.gz 

[root@linuxprobe src] # wget http://www. linuxprobe.com 
/Software/t11lib-5.1.2.tar.gz 

[root@linuxprobe src] # wget http://www. linuxprobe.com 
/Software/tiff-4.0.3.tar.gz 

[root@linuxprobe src] # wget http://www. linuxprobe.com 
/Software/yasm-1.2.0.tar.gz 

[root@linuxprobe src] # wget http://www. linuxprobe.com 
/Software/zlib-1.2.8.tar.gz 

[root@linuxprobe src]# ls 


zlib-1.2.8.tar.gz libmcrypt-2.5.8.tar.gz pcre-8. 
35.tar.gz 
cmake-2.8.11.2.tar.gz  libpng-1.6.12.tar.gz php-5.5 
.14.tar.gz 


Discuz X3.2 SC GBK.zip  libvpx-v1.3.0.tar.bz2 t11ib- 
5.1.2.tar.gz 


freetype-2.5.3.tar.gz  mysql-5.6.19.tar.gz tiff-4. 
0.3.tar.gz 

jpegsrc.v9a.tar.gz nginx-1.6.0.tar.gz yasm-1. 
2.0.tar.gz 

libgd-2.1.0.tar.gz openssl-1.0.1h.tar.gz 








CMake 是 Linux 系 统 中 一 蒜 和 常用 的 编译 工具 。 要 想 通 过 源 





人 码 包 安 朔 服务 程序 ， 惑 一 定 要 严格 遵守 上 面 总 结 的 安装 步骤 
一 一 下 载 及 解压 源码 包 文件 、 编 译 源 码 包 代码 、 生 成 二 进 制 安 
装 程序 、 运 行 二 进 制 的 服务 程序 安装 包 。 接 下 来 在 解压 、 编 译 








各 个 软件 包 源 码 程序 时 ， 都 会 生成 大 量 的 输出 信息 ， 下 文中 将 
其 省 略 ， 请 读者 以 实际 操作 为 准 。 








[root@linuxprobe src]# tar xzvf cmake-2.8.11.2.tar.gz 
[root@linuxprobe src]# cd cmake-2.8.11.2/ 


[root@linuxprobe cmake-2.8.11.2]# ./configure 
[root@linuxprobe cmake-2.8.11.2]# make 
[root@linuxprobe cmake-2.8.11.2]# make install 





20.2.1 配置 MySQL 服务 


本 书 在 第 18 章 讲解 过 MySQL 和 MariaDB 数 据 库 管理 系统 之 
间 的 因缘 和 特性 ， 也 狠 狠 地 夸奖 了 MariaDB 数 据 库 ， 但 是 
MySQL 数 据 库 当 前 依然 是 生产 环境 中 最 第 使 用 的 关系 型 数据 
库 管 理 系统 之 一 ， 坐 拥 极 大 的 市 场 份 额 ， 并 且 已 经 通过 十 几 年 
不 断 的 发 展 癌 业 界 证 明了 目 身 的 稳定 性 和 安全 性 。 另 外 ， 虽 然 
第 18 章 已经 讲解 了 基本 的 数据 库 管理 知识 ， 但 是 为 了 进一步 帮 
助 大 家 夯实 基础 ， 本 章 依 然 在 这 里 整合 了 了 MySQL 数据 库 内 
容 ， 使 大 家 在 温 故 的 同时 可 以 知 新 。 


























在 使 用 Yum 软 件 仓 库 安 装 服 务 程 序 时 ， 系 统 会 日 动 根据 
RPM 软 件 包 中 的 指令 集 完 整 软件 配置 等 工作 。 但 是 一 旦 选择 使 
用 源码 包 的 方式 来 安装 ， 这 一 切 束 需要 自己 来 完成 了 。 和 针对 
MySQL 数 据 库 来 讲 ， 我 们 需要 在 系统 中 创建 一 个 名 为 mysql 的 
用 户 ， 专 门 用 于 负责 运行 MYSQL 数据 库 。 请 记得 要 把 这 类 账 




















户 的 Bash 终 端 设置 成 nologin 解 释 器 ， 避 免 黑客 通过 该 用 户 登 录 
到 服务 器 中 ， 从 而 提高 系统 安全 性 。 


[root@linuxprobe src]# useradd mysql -s /sbin/nologin 
创建 一 个 用 于 保存 MySQL 数 据 库 程 序 和 数据 库 文件 的 目 
录 ， 并 把 该 目录 的 所 有 者 和 上 所属 组 吴 份 修改 为 mysql。 其 
中 ，/usr/loca/mysql 是 用 于 保存 MySQL 数 据 库 服务 程序 的 目 
录 ，/usr/local/mysql/var 则 是 用 于 保存 真实 数据 库 文件 的 目录 。 

















[root@linuxprobe src]# mkdir -p /usr/local/mysql/var 
[root@linuxprobe src]# chown -Rf mysql:mysql /usr/local 
/mysql 








接 下 来 解压 、 编 译 、 安 装 MySQL 数 据 库 服务 程序 。 在 编 
译 数据 库 时 使 用 的 是 cmake 命 令 ， 其 中 ，- 
DCMAKE INSTALL PREFIX 参 数 用 于 定义 数据 库 服 务 程 序 的 
保存 目录 ，-DMYSQL_DATADIR 参 数 用 于 定义 真实 数据 库 文 
件 的 目录 ，-DSYSCONFDIR 则 是 定义 MySQL 数 据 库 配 置 文件 
的 保存 目录 。 由 于 MySQL 数 据 库 服务 程序 比较 大 ， 因 此 编译 
的 过 程 比较 漫长 ， 在 此 期 间 可 以 稍微 休息 一 下 。 




















[root@linuxprobe src]# tar xzvf mysql-5.6.19.tar.gz 
[root@linuxprobe src]# cd mysql-5.6.19/ 
[root@linuxprobe mysql-5.6.19]# cmake . -DCMAKE INSTALL 


_PREFIX=/usr/local/mysql- 

DMYSQL DATADIR-/usr/local/mysql/var -DSYSCONFDIR-/etc 
[root@linuxprobe mysql-5.6.19]# make 

[root@linuxprobe mysql-5.6.19]# make install 








为 了 让 MySQL 数 据 库 程序 正常 运转 起 来 ， 需 要 先 删除 /etc 

目录 中 的 默认 配置 文件 ， 然 后 在 MySQL 数 据 库 程序 的 保存 目 
录 scripts 内 找到 一 个 名 为 mysqL_install_db 的 脚本 程序 ， 执 行 这 
个 脚本 程序 并 使 用 --user 参 数 指定 MySQL 服 务 的 对 应 账号 名 称 

《在 前 面 步骤 已 经 创建 ) ， 使 用 --basedir 参 数 指定 MySQL 服 务 
程序 的 保存 目录 ， 使 用 --datadir 参 数 指定 MySQL 真 实数 据 库 的 
文件 保存 目录 ， 这 样 即 可 生成 系统 数据 库 文 件 ， 也 会 生成 出 新 
的 MYSQL 服务 配置 文件 。 














[root@linuxprobe mysql-5.6.19]# rm -rf /etc/my.cnf 
[root@linuxprobe mysql-5.6.19]# cd /usr/local/mysql 


[root@linuxprobe mysql]# ./scripts/mysql install db --u 
ser=mysql --basedir=/usr/ 
local/mysql --datadir=/usr/local/mysql/var 





把 系统 新 生成 的 MySQL 数 据 库 配 置 文件 链接 到 /etc 目 录 
中 ， 然 后 把 程序 目录 中 的 开机 程序 文件 复制 到 /etc/rc.d/init.d 目 
录 中 ， 以 便 通 过 service 命 令 来 管理 MySQL 数 据 库 服务 程序 。 记 
得 把 数据 库 脚 本 文件 的 权限 修改 成 755 以 便于 让 用 户 有 执行 该 
脚本 的 权限 : 














[root@linuxprobe mysql]# ln -s my.cnf /etc/my.cnf 
[root@linuxprobe mysql]# cp ./support-files/mysql.serve 
r /etc/rc.d/init.d/mysqld 


[root@linuxprobe mysql]# chmod 755 /etc/rc.d/init.d/mys 
qld 





编辑 刚 复 制 的 MySQL 数 据 库 脚本 文件 ， 把 第 46、47 行 的 
basedir 与 datadir 参 数 分 别 修改 为 MySQL 数 据 库 程 序 的 保存 目录 
和 真实 数据 库 的 文件 内 容 。 





[root@linuxprobe mysgl]# vim /etc/rc.d/init.d/mysqld 
省 略 部 分 得 出 信息 .ee 


40 # If you want to affect other MySQL variables, you 
should make your changes 

41 # in the /etc/my.cnf, ~/.my.cnf or other MySQL conf 
iguration files. 

42 

43 # If you change base dir, you must also change data 
dir. These may get 

44 # overwritten by settings in the MySQL configuratio 
n files. 

45 

46 basedir=/usr/local/mysql 

47 datadir-/usr/local/mysql/var 


43 WEE HE A 4688 EH e e 





配置 好 脚本 文件 后 便 可 以 用 service 命 令 启动 mysqld 数 据 库 
服务 了 。mysqld 是 MySQL 数 据 库 程序 的 服务 名 称 ， 注 意 不 要 
写 错 。 顺 带 再 使 用 chkconfig 命 令 把 mysqld 服 务 程序 加 入 到 开机 


局 动 项 中 。 


[root@Linuxprobe mysql]# service mysqld start 


Starting MySQL. SUCCESS! 
[root@linuxprobe mysql]# chkconfig mysqld on 





M 目 带 了 许多 命令 ， 但 是 Bash 终 端的 
PATH 变量 并 不 会 包含 这 些 命令 所 存放 的 目录 ， 因 此 我 们 也 无 
法 顺利 地 对 MySQL 数 据 库 进行 初始 化 ， 也 就 不 能 使 用 MySQL 
数据 库 自 带 的 命令 了 。 想 要 把 命令 所 保存 的 目录 永久 性 地 定义 
ae 需要 编辑 /etc/profile 文 件 并 写 入 追加 的 命令 目 

这 样 当 物 理 设备 在 下 一 次 重启 时 就 会 永久 生效 了 。 如 果 不 
en et 也 可 以 使 用 source 命 令 加 载 一 
下 /ect/profile 文 件 ， 此 时 新 的 PATH 变 量 也 可 以 立即 生效 了 。 














[root@linuxprobe mysql]# vim /etc/profile 


oue 省 略 部 分 输出 信息 
64 
65 for i in A aaa ; do 
66 if [ -r "$i LN us 
67 if [ "$(- am ' ]; then 
68 . "$i" 
69 else 
70 . "$i" »/dev/null 
71 fi 
72 fi 
73 done 


74«strong» export PATH-$PATH:/usr/local/mysql/bin«/str 
ong» 


75 unset i 
76 unset -f pathmunge 
[root@linuxprobe mysql]# source /etc/profile 











MySQL 数 据 库 服务 程序 还 会 调用 到 一 些 程序 文件 和 函数 
库 文 件 。 由 于 当前 是 通过 源码 包 方 式 安装 MYSQL 数据 库 ， 
此 现在 也 必须 以 手动 方式 把 这 些 文件 链接 过 来 。 








[root@linuxprobe mysql]# mkdir /var/lib/mysql 
[root@linuxprobe mysql]# ln -s /usr/local/mysql/lib/mys 
ql /usr/lib/mysgl 


[root@linuxprobe mysgl]# ln -s /tmp/mysql.sock /var/lib 
/mysql/mysql.sock 

[root@linuxprobe mysgl]# ln -s /usr/local/mysql/include 
/mysql /usr/include/mysql 

















现在 ，MySQL 数 据 库 服 务 程 序 已 经 局 动 ， 调 用 的 各 个 函 
数 文件 已 经 就 位 ，PATH 环 境 变 量 中 也 加 入 了 MySQL 数 据 库 命 
令 的 所 在 目录 。 接 下 来 准备 对 MySQL 数 据 库 进行 初始 化 ， 这 
个 初始 化 的 配置 过 程 与 MariaDB 数 据 库 是 一 样 的 ， 只 是 最 后 变 
成 了 Thanks for using MySQL! 








[root@linuxprobe mysql]# mysql secure installation 
NOTE: RUNNING ALL PARTS OF THIS SCRIPT IS RECOMMENDED F 
OR ALL MySQL 
SERVERS IN PRODUCTION USE! PLEASE READ EACH STEP 
CAREFULLY! 
In order to log into MySQL to secure it, we'll need the 
current 


password for the root user. If you've just installed M 
ySQL, and 
you haven't set the root password yet, the password wil 
l be blank, 
SO you should just press enter here. 
Enter current password for root (enter for none): 此 处 
只 需 按 下 回 车 键 
OK, successfully used password, moving on... 
Setting the root password ensures that nobody can log i 
nto the MySQL 
root user without the proper authorisation. 
Set root password? [Y/n] y (要 为 root 管 理 员 设置 数据 库 的 密 
fy) 
New password: 输入 要 为 root 管 理 员 设 置 的 数据 库 密码 
Re-enter new password: 再 输入 一 次 密码 
Password updated successfully! 
Reloading privilege tables.. 

. Success! 
By default, a MySQL installation has an anonymous user, 

allowing anyone 
to log into MySQL without having to have a user account 
created for 

them. This is intended only for testing, and to make t 
he installation 
go a bit smoother. You should remove them before movin 
g into a 
production environment. 
Remove anonymous users? [Y/n] y (删除 匿名 账户 》 

. Success! 
Normally, root should only be allowed to connect from 
localhost'. This 
ensures that someone cannot guess at the root password 
from the network. 
Disallow root login remotely? [Y/n] y (禁止 root 管 理 员 从 
远程 登录 ) 

. Success! 


By default, MySQL comes with a database named 'test' th 
at anyone can 
access. This is also intended only for testing, and sh 
ould be removed 
before moving into a production environment. 
Remove test database and access to it? [Y/n] y 删除 te 
st 数据 库 并 取消 对 其 的 访问 权限 ) 
- Dropping test database... 
. Success! 
- Removing privileges on test database... 
. Success! 
Reloading the privilege tables will ensure that all cha 
nges made so far 
will take effect immediately. 
Reload privilege tables now? [Y/n] y “刷新 授权 表 ， 让 初 
始 化 后 的 设 定 立即 生效 ) 


. Success! 
All done! If you've completed all of the above steps, 
your MySQL 


installation should now be secure. 
Thanks for using MySQL! 
Cleaning up... 





20.2.2 ”配置 Nginx 服 务 


Nginx KA ARAKA TREIS ANA EKRA 
程序 ， 它 最 初 是 为 俄罗斯 门户 站 点 而 开发 的 ， 因 其 稳定 性 、 功 
能 丰 宇 、 占 用 内 存 少 且 并 发 能 力 强 而 备 受 用 户 的 信赖 。 目 前 国 
内 请 如 新 浪 、 网 易 、 腾 讯 等 门户 站 扣 均 已 使 用 了 此 服务 。 

















Nginx 服 务 程序 的 稳定 性 源 目 于 采用 了 分 阶段 的 资源 分 配 


BOR, MEK CPUS AW HS, Ar bd ti A Nginx ts eae 

的 动态 网 站 环境 不 仅 十 分 稳定 、 高 效 ， 而 且 消 耗 的 系统 资源 也 
很 少 。 此 外 ，Nginx 有 具备 的 模块 数量 与 Apache 具 备 的 模块 数量 
几乎 相同 ， 而 且 现 在 已 经 完全 文 持 proxy、rewrite、mod_fcgi、 

ss1]、vhosts 等 和 用 模块 。 更 重要 的 是 ，Nginx 还 文 持 热 部 署 技 

术 ， 可 以 7x24 不 间断 提供 服务 ， 还 可 以 在 不 暂 俘 服务 的 情况 下 
直接 对 Nginx 服 务 程序 进行 升级 。 




















坦白 来 讲 ， 虽 然 Nginx 程 序 的 代码 质量 非常 高 ， 代 码 很 规 
W, ARRA, RRP RERED, BRATE R, kE 
如 征 由 俄罗斯 人 开发 的 ， 所 以 在 资料 文档 方面 还 并 不 完善 ， 中 
资料 的 质量 更 是 鱼龙混杂 。 但 是 Nginx 服 务 程序 在 近年 来 增 
长 势头 迅 狐 ， 相 信 会 在 轻 量 级 Web 服 务 器 市 场 具 有 不 错 的 未 
来 。 











在 正式 安装 Nginx 服 务 程序 之 前 ， 我 们 还 需要 为 其 解决 相 
关 的 软件 依赖 和 关系， 例如 用 于 提供 Per 语言 兼容 的 正则 表达 式 
库 的 软件 包 pcre， 允 是 Nginx 服 务 程 序 用 于 实现 伪 静 态 功 能 必 
不 可 少 的 依赖 包 。 下 面 来 解压 、 编 译 、 和 生成、 安装 Nginx 服 务 
程序 的 源码 文件 : 

















[root@linuxprobe ~]# cd /usr/local/src 

[root@linuxprobe src]# tar xzvf pcre-8.35.tar.gz 
[root@linuxprobe src]# cd pcre-8.35 

[root@linuxprobe pcre-8.35]# ./configure --prefix=/usr/ 


local/pcre 
[root@linuxprobe pcre-8.35]# make 
[root@linuxprobe pcre-8.35]# make install 











openssl 软 件 包 是 用 于 提供 网 站 加 密 证 书 服务 的 程序 文件 ， 
在 安装 该 程序 时 需要 上 自 定 义 服务 程序 的 安装 目录 ， 以 便于 稍 后 
调用 它们 的 时 候 更 可 控 。 











[root@linuxprobe pcre-8.35]# cd /usr/local/src 
[root@linuxprobe src]# tar xzvf openssl-1.0.1h.tar.gz 
[root@linuxprobe src]# cd openssl-1.0.1h 
[root@linuxprobe openssl-1.0.1h]£& ./config --prefix=/us 
r/local/openssl 

[root@linuxprobe openssl-1.0.1h]tt make 

[root@linuxprobe openssl-1.0.1h]# make install 








openss] 4x FE 238 Ja BRU 2: tE/usr/local/openssl/bin H 3 P 
提供 很 多 的 可 用 命令 ， 我 们 需要 像 前 面 的 操作 那样 ， 将 这 个 目 
录 添 加 到 PATH 环境 变量 中 ， 并 写 入 到 配置 文件 中 ， 最 后 执行 
Source 命令 以 便 让 新 的 PATH 环境 变量 内 容 可 以 立即 生效 : 











[root@linuxprobe pcre-8.35]# vim /etc/profile 
Min un ^83 Wer PATS 2) FHT LE fes 4 


64 

65 for i in Eu Pe ; do 
66 if [ -r "$i Ni bs 

67 if [ "$(- e ' ]; then 

68 . "$i" 

69 else 


70 . "$i" »/dev/null 


71 fi 
72 fi 


73 done 

74 export PATH=$PATH: /usr/local/mysql/bin: /usr/local/o 
penssl/bin 

75 unset i 

76 unset -f pathmunge 

[root@linuxprobe pcre-8.35]# source /etc/profile 











zlib 软 件 包 是 用 于 提供 压缩 功能 的 函数 库 文 件 。 其 实 Nginx 
服务 程序 调用 的 这 些 服务 程序 无 需 深 入 了 解 ， 只 要 大 致 了 解 其 
作用 就 已 经 足够 了 : 














[root@linuxprobe pcre-8.35]# cd /usr/local/src 
[root@linuxprobe src]# tar xzvf zlib-1.2.8.tar.gz 
[root@linuxprobe src]# cd zlib-1.2.8 


[root@linuxprobe zlib-1.2.8]# ./configure --prefix=/usr 
/local/zlib 

[root@linuxprobe zlib-1.2.8]# make 

[root@linuxprobe zlib-1.2.8]# make install 





FE UR UE EF A ORR RE LZ Ja, BES 
执行 Nginx 服 务 程序 的 账户 。 账 户 名 称 可 以 目 定 义 ， 但 一 定 别 
未 记 ， 因 为 在 后 续 需 要 调用 : 


[root@linuxprobe zlib-1.2.8]# cd .. 
[root@linuxprobe src]# useradd www -s /sbin/nologin 


在 使 用 命令 编译 Nginx 服 务 程 序 时 ， 需 要 设置 特别 多 的 参 








数 ， 其 中 ，--prefix 参 数 用 于 定义 服务 程序 稍 后 安装 到 的 位 

置 ，--user 与 --group 人 参数 用 于 指定 执行 Nginx 服 务 程序 的 用 户 名 
和 用 户 组 。 在 使 用 参数 调用 openssl、zlib、pcre 软 件 包 时 ， 请 
写 出 软件 源码 包 的 解压 路 径 ， 而 不 是 程序 的 安装 路 径 : 











[root@linuxprobe src]# tar xzvf nginx-1.6.0.tar.gz 
[root@linuxprobe src]# cd nginx-1.6.0/ 

[root@linuxprobe nginx-1.6.0]# ./configure --prefix=/us 
r/local/nginx --without- 

http memcached module --user=www --group=www --with-htt 
p stub status module --with- 


http ssl module --with-http gzip static module --with-o 
penssl-/usr/local/src/openssl- 

1.0.1h --with-zlib-/usr/local/src/zlib-1.2.8 --with-pcr 
e-/usr/local/src/pcre-8.35 

[root@linuxprobe nginx-1.6.0]# make 

[root@linuxprobe nginx-1.6.0]# make install 





要 想 启 动 Nginx 服 务 程 序 以 及 将 其 加 入 到 开机 启动 项 中 ， 
也 需要 有 脚本 文件 。 可 惜 的 是 ， 在 安装 完 Nginx 软 件 包 之 后 默 
认 并 没有 为 用 户 提供 脚本 文件 ， 因 此 刘 遂 老师 给 各 位 读者 准备 
了 一 份 可 用 的 启动 脚本 文件 ， 大 家 只 需 在 /etc/rc.d/init.d 目 录 中 
创建 脚本 文件 并 直接 复制 下 面 的 脚本 内 容 即 可 (相信 各 位 读者 
在 掌握 了 第 4 章 的 内 容 之 后 ， 应 该 可 以 顺利 看 懂 这 个 脚本 文 
件 ) 。 























这 个 脚本 文件 的 内 容 较 多 ， 读 者 可 通过 本 书 的 配套 网 站 在 线 获 
得 ， 地 址 为 http:/www.linuxprobe.com/chapter-20.html。 





[root@linuxprobe nginx-1.6.0]# vim /etc/rc.d/init.d/ngi 
nx 

#!/bin/bash 

# nginx - this script starts and stops the nginx daemon 
# chkconfig: - 85 15 

# description: Nginx is an HTTP(S) server, HTTP(S) reve 
rse \ 

# proxy and IMAP/POP3 proxy server 

# processname: nginx 

# config: /etc/nginx/nginx. conf 

# config: /usr/local/nginx/conf/nginx. conf 

# pidfile: /usr/local/nginx/logs/nginx.pid 

# Source function library. 

. /etc/rc.d/init.d/functions 

# Source networking configuration. 

. /etc/sysconfig/network 

# Check that networking is up. 

[ "$NETWORKING" = "no" ] && exit © 
nginx-"/usr/local/nginx/sbin/nginx" 

prog-$(basename $nginx) 

NGINX CONF FILE-z"/usr/local/nginx/conf/nginx.conf" 

[ -f /etc/sysconfig/nginx ] && . /etc/sysconfig/nginx 
lockfile=/var/lock/subsys/nginx 

make_dirs() { 

# make required directories 


user= $nginx -V 2>&1 | grep "configure arguments:" | se 
d 's/[^*]*--userzN([^ ]*\). 
PANJE x 


if [ -z "grep $user /etc/passwd' " ]; then 
useradd -M -s /bin/nologin $user 


fi 
options= $nginx -V 2>&1 | grep ‘configure arguments: '` 
for opt in $options; do 
if [ “echo $opt | grep '.*-temp-path'' ]; then 
value-' echo $opt | cut -d "=" -f 2 
if [ ! -d "$value" ]; then 
# echo "creating" $value 
mkdir -p $value && chown -R $us 
er $value 
fi 
fi 
done 
} 
start() { 
[ -x $nginx ] || exit 5 
[ -f $NGINX_CONF_FILE ] || exit 6 
make dirs 
echo -n $"Starting $prog: 
daemon $nginx -c $NGINX CONF FILE 
retval=$? 
echo 
[ $retval -eq 6 ] && touch $lockfile 
return $retval 
} 
stop() { 
echo -n $"Stopping $prog: 
killproc $prog -QUIT 
retval=$? 
echo 
[ $retval -eq © ] && rm -f $lockfile 
return $retval 
} 
restart() { 
#configtest || return $? 
stop 
Sleep 1 


start 

} 

reload() { 

#configtest || return $? 
echo -n $"Reloading $prog: 
killproc $nginx -HUP 
RETVAL=$? 

echo 

} 

force reload() { 

restart 

} 

configtest() { 

$nginx -t -c $NGINX_CONF_FILE 
} 

rh_status() { 

status $prog 

} 

rh_status_q() { 

rh status »/dev/null 2»81 


} 
case "$1" in 
start) 
rh_status_q && exit 6 
$1 
33 
stop) 
rh_status_q || exit 6 
$1 
33 
restart|configtest) 
$1 
n 
reload) 


rh status q || exit 7 
$1 


33 
force-reload) 
force_reload 
3 
status) 
rh_status 


323 
condrestart|try-restart) 
rh status q || exit 6 
33 
R) 
echo $"Usage: $0 {start|stop|status|restart|condrestart 
| try -restart|reload|force- 
reload|configtest}" 
exit 2 


esac 








保存 脚本 文件 后 记得 为 其 赋予 755 权 限 ， -oo 
个 脚本 。 然 后 以 绝对 路 径 的 方式 执行 这 个 脚本 ， 通 过 restart 参 
数 重 局 Nginx 服 务 程序 ， 最 后 再 使 用 chkconfig 命 formant 
程序 添加 至 开机 启动 项 中 。 大 功 告 成 ! 








[root@linuxprobe nginx-1.6.@]# chmod 755 /etc/rc.d/init 
.d/nginx 

[root@linuxprobe nginx-1.6.0]# /etc/rc.d/init.d/nginx r 
estart 


Restarting nginx (via systemctl): 
[ OK ] 
[root@linuxprobe nginx-1.6.0]# chkconfig nginx on 








Nginx HRS Fe Fr £E Jc 3) Jak n] LATE DI V. is PAIRS A FY 











IP 地 址 来 得 看 到 默认 网 页 了 。 相 较 于 Apache 服 务 程序 的 红色 殊 
认 页 面 ，Nginx 服 务 程序 的 默认 页 面 显 得 更 加 简洁， 如 图 20-2 
所 示 。 








| [3 Welcome to nginx! 


Œ D 192.168.10.10 |= 


Welcome to nginx! 


If you see this page, the nginx web server is successfully installed and 
working. Further configuration is required. 


For online documentation and support please refer to nginx.org. 
Commercial support is available at nginx.com. 


Thank you for using nginx. 


图 20-2 ”Nginx 服 务 程序 的 默认 页 面 
20.2.3 ”配置 PHP 服 务 


PHP (Hypertxt Preprocessor, XÆ HALIA) 是 一 种 通 
用 的 开源 脚本 语言 ， 发 明 于 1995 年 ， 它 吸取 了 C 语 言 、Java 语 
言及 Perl 语 言 的 很 多 优点 ， 上 其 有 开源 、 人 免费 、 快 捷 、 跨 平台 性 
强 、 效 率 高 等 优 民 特性， 是 目前 Web 开 发 领域 最 常用 的 语言 之 
一 。 本 书 的 配套 站 点 就 是 基于 PHP 语 言 编写 的 。 














使 用 源码 包 的 方式 编译 安装 PHP 语 言 环 境 其 实 并 不 复杂 ， 


难点 在 于 解决 PHP 的 程序 包 和 其 他 软件 的 依赖 关系 。 为 此 需要 
先 安装 部 署 将 近 十 个 用 于 搭建 网 站 页 面 的 软件 程序 包 ， 然 后 才 
式 安装 PHP 程 序 。 











yasm 源 人 码 包 是 一 蒜 常 见 的 开源 汇编 茵 ， 其 解压 、 编 译 、 安 
装 过 程 中 生成 的 输出 信息 均 已 省 略 : 





[root@linuxprobe nginx-1.6.0]# cd .. 
[root@linuxprobe src]# tar zxvf yasm-1.2.0.tar.gz 
[root@linuxprobe src]# cd yasm-1.2.0 


[root@linuxprobe yasm-1.2.0]# ./configure 
[root@linuxprobe yasm-1.2.0]# make 
[root@linuxprobe yasm-1.2.0]# make install 














libmcrypt 源 码 包 是 用 于 加 密 算 法 的 扩展 库 程 序 ， 其 解压 、 
编译 、 安 装 过 程 中 生成 的 输出 信息 均 已 省 略 : 





[root@linuxprobe yasm-1.2.0]# cd .. 
[root@linuxprobe src]# tar zxvf libmcrypt-2.5.8.tar.gz 
[root@linuxprobe src]# cd libmcrypt-2.5.8 


[root@linuxprobe libmcrypt-2.5.8]# ./configure 
[root@linuxprobe libmcrypt-2.5.8]# make 
[root@linuxprobe libmcrypt-2.5.8]# make install 














libvpx 源 码 包 是 用 于 提供 视频 编码 器 的 服务 程序 ， 其 解 
压 、 编 译 、 安 闭 过 程 中 生成 的 输出 信息 均 已 省 略 。 相 信 会 有 很 
多 粗心 的 读者 顺手 使 用 了 tar 命 令 的 xzvf 参 数 ， 但 如 果 仔 细 观 察 
就 会 发 现 libvpx 源 码 包 的 后 级 是 .tar.bz2， 即 表示 使 用 bzip2 格 式 























行 的 压缩 ， 因 此 正确 的 解压 参数 应 该 是 xjvf: 


[root@linuxprobe libmcrypt-2.5.8]# cd .. 
[root@linuxprobe src]# tar xjvf libvpx-v1.3.0.tar.bz2 
[root@linuxprobe src]# cd libvpx-v1.3.0 
[root@linuxprobe libvpx-v1.3.0]# ./configure --prefix=/ 


usr/local/libvpx --enable- 

shared --enable-vp9 

[root@linuxprobe libvpx-v1.3.0]# make 
[root@linuxprobe libvpx-v1.3.0]# make install 














tiff 源 码 包 是 用 于 提供 标签 图 像 文件 格式 的 服务 程序 ， 其 
解压 、 有 编译、 安装 过 程 中 生成 的 输出 信息 均 忆 省略 : 








[root@linuxprobe libvpx-v1.3.0]& cd .. 

[root@linuxprobe src]# tar zxvf tiff-4.0.3.tar.gz 
[root@linuxprobe src]# cd tiff-4.0.3 

[root@linuxprobe tiff-4.0.3]# ./configure --prefix=/us 
r/local/tiff --enable-shared 

[root@linuxprobe tiff-4.0.3]# make 

[root@linuxprobe tiff-4.0.3]# make install 











libpng 源 码 包 是 用 于 提供 png 图 片 格式 支持 函数 库 的 服务 程 
序 ， 其 解压 、 编 译 、 安 装 过 程 中 生成 的 输出 信息 均 己 省 略 : 








[root@linuxprobe tiff-4.0.3]# cd .. 

[root@linuxprobe src]# tar zxvf libpng-1.6.12.tar.gz 
[root@linuxprobe src]# cd libpng-1.6.12 
[root@linuxprobe libpng-1.6.12]# ./configure --prefix=/ 
usr/local/libpng --enable- 

shared 


[root@linuxprobe libpng-1.6.12]# make 

[root@linuxprobe libpng-1.6.12]# make install 
freetype 源 码 包 是 用 于 提供 字体 文 持 引擎 的 服务 程序 ， 其 

解压 、 编 译 、 安 闭 过 程 中 生成 的 输出 信息 均 已 省 略 : 




















[root@linuxprobe libpng-1.6.12]# cd .. 

[root@linuxprobe src]# tar zxvf freetype-2.5.3.tar.gz 
[root@linuxprobe src]# cd freetype-2.5.3 
[root@linuxprobe freetype-2.5.3]# ./configure --prefix= 


/usr/local/freetype - 

enable-shared 

[root@linuxprobe freetype-2.5.3]# make 
[root@linuxprobe freetype-2.5.3]# make install 











jpeg 源 码 包 是 用 于 提供 jpeg 图 片 格式 支持 函数 库 的 服务 程 
序 ， 其 解压 、 编 译 、 安 装 过 程 中 生成 的 输出 信息 均 已 省 略 : 





[root@linuxprobe freetype-2.5.3]# cd .. 
[root@linuxprobe srcl]# tar zxvf jpegsrc.v9a.tar.gz 
[root@linuxprobe src]# cd jpeg-9a 


[root@linuxprobe jpeg-9a]|# ./configure --prefix=/usr/lo 
cal/jpeg --enable-shared 

[root@linuxprobe jpeg-9a]# make 

[root@linuxprobe jpeg-9a]# make install 














libgd 源 码 包 是 用 于 提供 图 形 处 理 的 服务 程序 ， 其 解压 、 编 
译 、 安 装 过 程 中 生成 的 输出 信息 均 己 省 略 。 在 编译 libgd 源 码 包 
时 ， 请 记得 写 入 的 是 jpeg、libpng、freetype、tif、libvpx 等 服 








务 程 序 在 系统 中 的 安装 路 径 ， 即 在 上 面 安装 过 程 中 使 用 --prefix 
参数 指定 的 目录 路 径 : 


[root@linuxprobe jpeg-9al# cd .. 

[root@linuxprobe src]# tar zxvf libgd-2.1.0.tar.gz 
[root@linuxprobe srcl]# cd libgd-2.1.0 

[root@linuxprobe libgd-2.1.0]£& ./configure --prefix-/us 
r/local/libgd --enable- 

shared --with-jpeg-/usr/local/jpeg --with-png-/usr/loca 


l/libpng --with-freetype- 

/usr/local/freetype --with-fontconfig-/usr/local/freety 
pe --with-xpm=/usr/ -- 

with-tiff-/usr/local/tiff --with-vpx=/usr/local/libvpx 
[root@linuxprobe libgd-2.1.0]# make 

[root@linuxprobe libgd-2.1.0]# make install 














tllib 源 码 包 是 用 于 提供 图 片 生 成 函数 库 的 服务 程序 ， 其 解 
压 、 编 译 、 安 闭 过 程 中 生成 的 输出 信息 均 己 省略。 安装 后 
把 /usrlib64 目 录 中 的 函数 文件 链接 到 /usvlib 目 录 中 ， 以 便 系统 
能 够 顺利 调 取 到 函数 文件 : 











[root@linuxprobe cd libgd-2.1.0]# cd .. 
[root@linuxprobe src]# tar zxvf t1lib-5.1.2.tar.gz 
[root@linuxprobe src]# cd tilib-5.1.2 

[root@linuxprobe t1lib-5.1.2]# ./configure --prefix=/us 
r/local/tilib --enable- 

shared 

[root@linuxprobe t1lib-5.1.2]# make 

[root@linuxprobe t1lib-5.1.2]# make install 
[root@linuxprobe t1lib-5.1.2]# ln -s /usr/lib64/libltdl 
.so /usr/lib/libltdl.so 


[root@linuxprobe t1lib-5.1.2]# cp -frp /usr/lib64/libXp 
m.so* /usr/lib/ 


此 时 终于 把 编译 php 服 务 源 码 包 的 相关 软件 包 都 已 经 安装 
部 和 车 受 当 了 。 在 开始 编译 php 源 人 友 包 之 前 ， 先 定义 一 个 名 为 
LD_LIBRARY_PATH 的 全 局 环境 变量 ， 该 环境 变量 的 作用 是 
帮助 系统 找到 指定 的 动态 链接 库 文件 ， 这 些 文件 是 编译 php 服 
务 源码 包 的 必须 元 素 之 一 。 编 译 php 服 务 源码 包 时 ， 除 了 定义 
要 安装 到 的 目录 以 外 ， 还 需要 依次 定义 配置 php 服 务 程序 配置 
文件 的 保存 目录 、MySQL 数 据 库 服务 程序 所 在 目录 、MySQL 
数据 库 服 务 程序 配置 文件 所 在 目录 ， 以 及 libpng、jpeg、 
freetype、1jlibvpx、zlib、tllib 等 服务 程序 的 安装 目录 路 径 ， 并 
通过 参数 启动 php 服 务 程序 的 诸多 默认 功能 : 



































[root@linuxprobe t1lib-5.1.2]# cd .. 

[root@linuxprobe src]# tar -zvxf php-5.5.14.tar.gz 
[root@linuxprobe src]# cd php-5.5.14 

[root@linuxprobe php-5.5.14]# export LD LIBRARY PATH-/u 
sr/local/libgd/lib 

[root@linuxprobe php-5.5.14]# ./configure --prefix-/usr 
/local/php --with-config- 

file-path=/usr/local/php/etc --with-mysql=/usr/local/my 
sql --with-mysqli-/usr/local/ 

mysql/bin/mysql config --with-mysql-sock=/tmp/mysql.soc 
k --with-pdo-mysql-/usr/local/ 

mysql --with-gd --with-png-dir-/usr/local/libpng --with 
-jpeg-dir-/usr/1local/ 

jpeg --with-freetype-dir-/usr/local/freetype --with-xpm 
-dir-/usr/ --with-vpx-dir- 


/usr/local/libvpx/ --with-zlib-dir=/usr/local/zlib --wi 
th-t1lib=/usr/local/t1lib 

--with-iconv --enable-libxml --enable-xml --enable-bcma 
th --enable-shmop --enable- 

sysvsem --enable-inline-optimization --enable-opcache - 
-enable-mbregex --enable- 

fpm --enable-mbstring --enable-ftp --enable-gd-native-t 
tf --with-openssl --enable- 

pcntl --enable-sockets --with-xmlrpc --enable-zip --ena 
ble-soap --without- 

pear --with-gettext --enable-session --with-mcrypt --wi 
th-curl --enable-ctype 

[root@linuxprobe php-5.5.14]# make 

[root@linuxprobe php-5.5.14]# make install 








fEphpi t BUE FE KREN, ria SMR S BU ERA A GER 
文件 ， 然 后 将 php 服 务 程序 目录 中 相应 的 配置 文件 复制 过 来 : 








[root@linuxprobe php-5.5.14]|# -rf /etc/php.ini 
[root@linuxprobe php-5.5.14]|# php.ini-production /us 
r/local/php/etc/php.ini 

[root@linuxprobe php-5.5.14]# -s /usr/local/php/etc/ 
php.ini /etc/php.ini 

[root@linuxprobe php-5.5.14]# /usr/local/php/etc/php 


-fpm.conf.default /usr/ 

local/php/etc/php-fpm. conf 

[root@linuxprobe php-5.5.14]|# -s /usr/local/php/etc/ 
php-fpm.conf /etc/php- 

fpm. conf 





php-fpm.conf 是 php 服 务 程序 重要 的 配置 文件 之 一 ， 我 们 需 
要 启用 该 配置 文件 中 第 25 行 左右 的 pid 文 件 保存 目录 ， 然 后 分 


别 将 第 148 和 149 行 的 user 与 group 参 数 分 别 修改 为 www 账 户 和 
用 户 组 名 称 : 





[root@linuxprobe php-5.5.14]# vim /usr/local/php/etc/ph 
p-fpm. conf 


li1553353333333535335532) 

2 ; FPM Configuration ; 

3 1315333333333333325335D 

4 

5 ; All relative paths in this configuration file are r 

elative to PHP's instal 1 

6 ; prefix (/usr/local/php). This prefix can be dynamic 

ally changed by using t he 

75 '-p' argument from the command line. 

8 

9 ; Include one or more files. If glob(3) exists, it is 
used to include a bunc h of 

10 ; files from a glob(3) pattern. This directive can b 

e used everywhere in the 

11 ; file. 

12 ; Relative path can also be used. They will be prefi 

xed by: 

13 ; - the global prefix if it's been set (-p argument) 

14 ; - /usr/local/php otherwise 

15 ;includezetc/fpm.d/*.conf 

16 


17 333333333333333333 

18 ; Global Options ; 

19 355555555555555553 

20 

21 [global] 

22 ; Pid file 

23 ; Note: the default prefix is /usr/local/php/var 
24 ; Default Value: none 


25 pid = run/php-fpm.pid 


(— 省 略 部 分 输出 信 sss 

145 ; Unix user/group of processes 

146 ; Note: The user is mandatory. If the group is not 
set, the default user's g roup 

147 ; will be used. 

148 user = www 

149 group = www 

150 

pum 省 略 部 分 输出 信 sss 





配置 妥当 后 便 可 把 用 于 管理 php 服 务 的 脚本 文件 复制 
到 /etc/rc.d/init.d 中 了 。 为 了 能 够 执行 脚本 ， 请 记得 为 脚本 赋予 
755 权 限 。 最 后 把 php-fpm 服 务 程序 加 入 到 开机 启动 项 中 : 
[root@linuxprobe php-5.5.14]# cp sapi/fpm/init.d.php-fp 


m /etc/rc.d/init.d/php-fpm 
[root@linuxprobe php-5.5.14]# chmod 755 /etc/rc.d/init. 


d/php-fpm 
[root@linuxprobe php-5.5.14]# chkconfig php-fpm on 








由 于 php 服 务 程序 的 配置 参数 直接 会 影响 到 Web 服 务 服务 
的 运行 环境 ， 因 此 ， 如 果 默 认 开 启 了 一 些 不 必要 且 高 危 的 功能 
(如 允许 用 户 在 网 页 中 执行 Linux 命 令 ) ， 则 会 降低 网 站 被 入 
侵 的 难度 ， 入 侵 人 员 甚 至 可 以 拿 到 整 台 Web 服 务 器 的 管理 权 
限 。 因 此 我 们 需要 编辑 php.ini 配 置 文件 ， 在 305 行 的 
disable_functions 参 数 后 面 追加 上 要 禁止 的 功能 。 下 面 的 禁用 功 
能 名 单 是 刘 遂 老师 依据 网 站 运行 的 经 验 而 定制 的 ， 不 见得 适合 

















每 个 生产 环境 ， 建 议 大 家 在 此 基础 上 根据 自 号 工作 需求 酌情 删 
减 : 





[root@linuxprobe php-5.5.14]# vim /usr/local/php/etc/ph 
p.ini 


endo 43 We HE A 4688 HE fei e 


300 

301 ; This directive allows you to disable certain func 
tions for security reasons. 

302 ; It receives a comma-delimited list of function na 
mes. This directive is 

303 ; *NOT* affected by whether Safe Mode is turned On 
or Off. 

304 ; http://php.net/disable-functions 

305 disable functions - passthru,exec,system,chroot,sca 
ndir,chgrp,chown,shell _ 

exec,proc open,proc get status,ini alter,ini alter,ini 
restor e,dl,openlog, 
syslog,readlink,symlink,popepassthru,stream socket serv 
er,escapeshellcmd,dll, 

popen,disk free space,checkdnsrr,checkdnsrr,g etservbyn 
ame,getservbyport,disk 

total space,posix termid,posix get last error,posix ge 
tcwd,posix getegid,posix  geteuid, 

posix getgid,po six getgrgid,posix getgrnam,posix getgr 
oups,posix getlogin,posix 

getpgid,posix getpgrp,posix getpid,posix getppid,posix 
getpwnam,posix  getpwuid, 

posix getrlimit,posix getsid,posix getuid,posix isatty, 
posix kill,posix mkfifo, 

posix setegid,posix seteuid,posix setgid,posix  setpgid 
;posix setsid,posix setuid, 

posix strerror,posix times,posix ttyname,posix uname 
306 


Pe 省 略 部 分 输出 信息 


~~ 





这 样 束 把 php 服 务 程序 配置 受 当 了 。 最 后 ， 还 需要 编辑 
Nginx 服 务 程序 的 主 配置 文件 ， 把 第 2 行 的 井 号 〈#) 删除 ， 然 
后 在 后 面 号 上 负责 运行 Nginx 服 务 程序 的 账户 名 称 和 用 户 组 名 
称 ; 在 第 45 行 的 index 参 数 后 面 写 上 网 站 的 首页 名 称 。 最 后 是 
将 第 65 一 71 行 参数 前 的 井 号 GD) 删除 来 启用 参数 ， 主 要 是 修 
改 第 69 行 的 脚本 名 称 路 径 参 数 ， 其 中 $document_root 变 量 即 为 
网 站 信息 存储 的 根 目录 路 径 ， 奉 没有 设置 该 变量 ， 则 Nginx 服 
务 程序 无 法 找到 网 站 信息 ， 因 此 会 提示 “404 页 面 未 找到 ”的 报 
错 信息 。 在 确认 参数 信息 填写 正确 后 便 可 重 司 Nginx 服 务 与 
php-fpm 服 务 。 



































[root@linuxprobe php-5.5.14]# vim /usr/local/nginx/con 
f/nginx. conf 
1 


2 
3 
4 
5 
6 
7 
8 
9 
1 
1 


— ^43 We HE A 4688 EH Te e 


user www WWW; 
worker processes 1; 


terror log logs/error.log; 
#error_log logs/error.log notice; 


#error_log logs/error.log info; 


#pid logs/nginx.pid; 


41 #access log logs/host.access.log main; 


43 location / { 
44 root html; 
45 index index.html index.htm index.php; 


46 } 

47 

Dee 省 略 部 分 笨 出 信息 .ee 
62 


63 #pass the PHP scripts to FastCGI server listening o 
n 127.0.0.1:9000 

64 

65 location ~ \.php$ { 

66 root html; 

67 fastcgi pass 127.0.0.1:9000; 

68 fastcgi index index.php; 

69 fastcgi param SCRIPT FILENAME $document root$fastcg 
i script name; 

70 include fastcgi params; 

71 } 

72 
— 省 略 部 分 输出 信 sss 

[root@linuxprobe php-5.5.14]# systemctl restart nginx 
[root@linuxprobe php-5.5.14]# systemctl restart php-fpm 
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20.3 ”搭建 Discuz! 论 坛 





为 了 检验 LNMP 动 态 网 站 环境 是 否 配 置 受 当 ， 可 以 使 用 在 
于 面部 署 Discuz! 系 统 ， 然 后 查看 结果 。 如 果 能 够 在 LNMP 动 态 
网 站 环境 中 成 功 安装 使 用 Discuz! 论 坛 系统 ， 也 就 意味 着 这 套 架 
构 是 可 用 的 。Discuz! X3.2 是 国内 最 常见 的 社区 论坛 系统 ， 在 
经 过 十 多 年 的 研发 后 已 经 成 为 了 全 球 成 熟 度 最 高 、 窗 盖 率 最 广 
的 论坛 网 站 系统 之 一 。 





























Discuz! X3.2 软 件 包 的 后 级 是 .zip 格 式 ， 因 此 应 当 使 用 专用 
的 unzip 命 令 来 进行 解压 。 解 压 后 会 在 当前 目录 中 出 现 一 个 名 
为 upload 的 文件 目录 ， 这 里 面 保 存 的 就 是 Discuz! 论坛 的 系统 
程序 。 我 们 把 Nginx 服 务 程 序 网 站 根 目 录 的 内 容 清空 后 ， 束 可 
以 把 这 些 这 个 目录 中 的 文件 都 复制 进去 了 。 记 得 把 Nginx 服 务 
程序 的 网 站 根 目 录 的 所 有 者 和 所 属 组 修改 为 本 地 的 www 用 户 
(已 在 20.2.2 小 市 创建 )》， 并 为 其 赋予 755 权 限 以 便于 能 够 读 、 
号、 执行 该 论坛 系统 内 的 文件 。 




















[root@linuxprobe php-5.5.14 ]# cd /usr/local/src/ 
[root@linuxprobe src]# unzip Discuz X3.2 SC GBK.zip 
[root@linuxprobe src]# rm -rf /usr/local/nginx/html/{in 
dex. htm1,50x.htm1}* 

[root@linuxprobe src]# mv upload/* /usr/local/nginx/htm 
1/ 


[root@linuxprobe src]# chown -Rf www:www /usr/local/ngi 


nx/html 


[root@linuxprobe src]# chmod -Rf 755 /usr/local/nginx/h 
tml 





第 1 步 : 接受 Discuz! 安 装 同 导 的 许可 协议 。 在 把 Discuz! 论 
坛 系统 程序 〈( 即 刚才 upload 目 录 中 的 内 容 〉 复制 Nginx 服 务 网 
站 根 目录 后 便 可 刷新 浏览 器 页 面 ， 这 将 自动 跳 转 到 Discuz! 
X3.2 论 坛 系统 的 安装 界面 ， 此 处 需 单 击 “ 我 同意 ”按钮 ， 进 入 下 














一 步 的 安装 过 程 中 ， 如 图 20-3 所 示 。 





Discuz! 安装 向 导 


中 文 版 授权 协议 适用 于 中 文 用 户 





图 20-3 ”接受 Discuz! X3.2 论 坛 系统 的 安装 许可 





第 2 步 : 检查 Discuz! X3.2 论 坛 系统 的 安装 环境 及 目录 权 
限 。 我 们 部 署 的 LNMP 动 态 网 站 环境 版 本 和 软件 都 与 Discuz! 论 
坛 的 要 求 相 符合 ， 如 果 图 20-4 框 中 的 目录 状态 为 不 可 写 ， 请 自 
行 检查 目录 的 所 有 者 和 所 属 组 是 否 为 www 用 户 ， 以 及 是 否 对 
目录 设置 了 755 权 限 ， 然 后 单 击 “ 下 一 步 ” 按 钮 。 








Discuz! 安装 向 导 x 
€ Q | D 192.168.10.10/install/index.php?step=1&uchidden=&submit=%CE%D2%CD%AC%D2%E2 w 


Discuz! 安装 向 导 


Discuz! X3.2 简体 中 文 版 20150609 








~ 检查 安装 环境 创建 数据 库 安装 
(e) 

环境 检查 

项 目 Discuz! 所 需 配 置 Discuz! Sf 当前 服务 器 

操作 系统 不 限制 类 Unix # Linux 

PHP 版 本 5.1 5.3 7 5.5.14 

附件 上 传 不 限制 2M v 2M 

GD 库 1.0 2.0 bundled (2.1.0 compatible) 
磁盘 宝 间 10M 不 限制 # unknow 

目录 、 文 件 权限 检查 

目录 文件 所 需 状态 

./config/config_global.php v us 必 
./config/config_ucenter.php v us = 
./config v s DA 

.[data vx s v 5 
./data/cache vx gs v 保 
./data/avatar v gs L4 状 
„/data/plugindata vx us v 
./data/download v us v 5 
./data/addonmd5 v us v us a 
./data/template * s v J5 
„/data/threadcache v s vias 是 
./data/attachment * s v qs Vv 
,/data/attachment/album v s + Js 
./data/attachment/forum vY Js * Js 后 
./data/attachment/group Y s * gs B 
./data/log *v us vx us 点 
./uc_client/data/cache Yv us vas 
./uc_server/data/ v s v s d 
./uc_server/data/cache Y gs v Jz F 
./uc_server/data/avatar * s v 
„/uc_server/data/backup Y Jz - ar 
./uc_server/data/logs * us vu = 
./uc_server/data/tmp vY s v 
,/uc_server/data/view v s v 

函数 依赖 性 检查 

函数 名 称 


mysql. connect() 
gethostbyname() 


file get contents() 


无 
无 
无 


xml_parser_create() 


eH 


fsockopen() 








图 20-4 ”检查 Discuz! X3.2 论 坛 系统 的 安装 环境 及 目录 权限 


第 3 步 : 选择 “全 新 安装 Discuz! X〈 含 UCenter Server) ”。 
UCenter Server 是 站 点 的 管理 平台 ， 能 够 在 多 个 站 点 之 间 同 步 
会 员 账 户 及 密码 信息 ， 单 击 “ 下 一 步 * 按 钮 ， 如 图 20-5 所 示 。 

















© Discuz! 安装 向 导 x 
€ Q' O 192.168.10.10/install/index.php 


Discuz! 安装 向 导 


7 设置 运行 环境 


创建 数据 库 


设置 运行 环境 





图 20-5 ”选择 全 新 安装 Discuz! 论 坛 及 UCenter Server 





第 4 步 : 填写 服务 器 的 数据 库 信 息 与 论坛 系统 管理 员 信 
息 。 网 站 系统 使 用 由 服务 器 本 地 (localhost) 提供 的 数据 库 服 


务 ， 数 据 名 称 与 数据 表 前 级 可 由 用 户 上 自行 填写 ， 其 中 数据 库 的 
用 户 名 和 密码 则 为 用 于 登录 MySQL 数 据 库 的 信息 《以 初始 化 
MySQL 服 务 程序 时 填写 的 信息 为 准 ) 。 论 坛 系统 的 管理 员 账 
户 为 今后 登录 、 管 理 Discuz! 论 坛 时 使 用 的 验证 信息 ， 其 中 账户 
可 以 设置 得 简单 好 记 一 些 ， 但 是 要 将 密码 设置 得 尽 可 能 复杂 一 
下 。 在 信息 填写 正确 后 单 击 “ 下 一 步 ? 按 钮 ， 如 图 20-6 所 示 。 





























€ Q | [5 192.168.10.10/install/index.php?step=3&install_ucenter=yes 


Discuz! 安装 向 导 


体 中 文章 
安装 数据 库 
Ó Se 
e Lanes 
吉安 装 环境 ~、 设置 运行 环境 i 安装 
O © 
坛 写 数据 库 信 
HRERS: localhost 数据 库 服务 器 地 址 , — localhost 
数据 庄 名 
数据 库 用 户 名 : root 
数据 库 密码 : linuxprobe 此 处 填写 Mysql 数 据 库 密码 
BRENA pre_ 同一 数据 库 运行 多 个 论坛 时 ， 请 修改 前 级 
SiS Email root@linuxprobe.com 用 于 发 送 程序 错误 报告 








图 20-6 ”填写 服务 喜 的 数据 库 信 息 与 论坛 系统 管理 员 信 息 








Bow: 等 待 Discuz! X3.2 论 坛 系统 安装 完毕 ， 如 图 20-7 所 
示 。 这 个 安装 过 程 是 非常 快速 的 ， 大 概 只 需要 30 秒 左右 ， 然 后 
就 可 看 到 论坛 安装 完成 的 欢迎 界面 了 。 由 于 虚拟 机 主机 可 能 3 
没有 连接 到 互联 网 ， 因 此 该 界面 中 可 能 无 法 正常 显示 Discuz! 论 
坛 系统 的 广告 信息 。 在 接 入 了 互联 网 的 服务 器 上 成 功 安装 完 
Discuz! X3.2 论 坛 系统 之 后 ， 其 界面 如 图 20-8 所 示 。 随 后 单 
击 “ 您 的 论坛 已 完成 安装 ， 点 此 访问 ”按钮 ， 即 可 访问 到 论坛 首 
页 ， 如 图 20-9 所 示 。 


























Discuz!X3.2 简体 中 文 版 20150609 





检查 安装 环境 


建立 数据 表 pre_common_secquestion .… 成 功 
建立 数据 表 pre common. session ... 成 功 

建立 数据 表 pre common setting ... 成 功 

建立 数据 表 pre common smiley ... 成 功 

建立 数据 表 pre common sphinxcounter ... 成 功 
建立 数据 表 pre_common_stat ... 成 功 

建立 数据 表 pre_common_statuser ... 成 功 

建立 数据 表 pre common. style ... 成 功 

建立 数据 表 pre_common_stylevar .… 成 功 

建立 数据 表 pre common. syscache ... 成 功 

建立 数据 表 pre common tag ... 成 功 

建立 数据 表 pre_common_tagitem ... 成 功 

建立 数据 表 pre common task ... 成 功 

建立 数据 表 pre_common_taskvar ... 成 功 

建立 数据 表 pre common. template ... 成 功 

建立 数据 表 pre common template block ... 成 功 
建立 数据 表 pre_common_template_permission ... 成 功 








图 20-7 等待 Discuz! X3.2 论 坛 系统 安装 完毕 





en 192.168.10.10/install/index.php?method=ext info | i i ? E z 
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Discuz!X3.2 简体 中 文 版 20150609 


Discuz! 应 用 中 心 


应 用 中 心 特意 为 您 准 备 了 一 批 优秀 应 用 ,插件 、 模 板 应 有 尽 有 ， 无 限制 扩充 站 点 功能 ， 建 站 必 备 。 
快 来 应 用 中 心 装 个 应 用 吧 ! 
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同 盾 论 坛 反 欺 许 云 杜绝 垃圾 灌水 Eee 化 











云 奇 付 点 卡 积分 充值 LE HARGER SEO 主题 前 后 N 条 
安装 : 103 saaaw iy xm 安装 : 586 ARAR 
9164825 


LA 百 变 小 米 每 日 签到 【 同 盾 】 论 坛 防 灌水 


RE 2673 Gà 安装 : 122 会 会 会 会 会 





可 三 
S ! 微 信 手 机 版 。 IMMWA 手 机 模板 — [ 维 清 ] 城 市 商家 模 。 M-Tow 智能 手机 时 间 Time 
Caia a aa PELLI PELLI Saa PELLI 


c SAS, 点 此 访问 























图 20-8 ”成 功 安装 Discuz! X3.2 论 坛 系统 后 的 欢迎 界面 


- Powered by Disc. x 








€ > QC D 192.168.10.10/forum.php «E 
设 为 首页 收藏 本 沾 “EE 
Q 社区 动力 APS v C) 自动 登录 REES 


DISCUZ! 








请 输入 搜索 内 容 帖子 ~ 加 热 搜 : 活动 交友 discuz 


论坛 
El 今日 : 0 | 昨日 : 0 | 帖子 : 0 | 会 员 : 1 | 欢迎 新 会 员 : UD 


Discuz! 


默认 版 块 


GEER - 0 人 在 线 - 0 会 员 (0 隐身 ) 0 位 游客 - 最 高 记录 是 0 于 2015-11-15. 


Been Hee o [pai 会 员 


当前 只 有 游客 或 隐身 会 员 在 线 





官方 论坛 
is 提供 最 新 Discuz! 产品 新 闻 、 软 件 下 载 与 技术 交流 











Comsenz 漫游 平台 Yeswan 专用 主机 


Powered by Discuz! X3.2 
© 2001-2013 Comsenz Inc. 


最 新 回复 


0/0 从 未 


Archiver | 手机 版 | 小 黑 屋 Comsenz Inc. @ 
GMT+8, 2015-11-15 04:55 , Processed in 0.151725 second(s), 13 queries . 


图 20-9 Discuz! X3.2 论 坛 系统 的 首页 界面 


20.4 选 购 服务 器 主机 


我 们 日 常 访问 的 网 站 是 由 域名 、 网 站 源 程序 和 主机 共同 组 
成 的 ， 其 中 ， 主 机 则 是 用 于 存放 网 页 源 代码 并 能 够 把 网 页 内 容 
展示 给 用 户 的 服务 器 。 在 本 书 即 将 结束 之 际 ， 刘 选 老师 再 虽 哄 
儿 句 有 关 服 务 器 主机 的 知识 以 及 选 购 拉 巧 ， 这 些 技 巧 部 是 在 近 
几 年 做 网 站 时 总 结 出 来 的 ， 希 望 能 对 大 家 有 所 帮助 。 


























e 虚拟 主机 : 在 一 台 服 务 器 中 划分 一 定 的 磁盘 空间 供用 户 放 
置 网 站 信息 、 存 放 数 据 等 ， 仪 提供 基础 的 网 站 访问 、 数 据 
存放 与 传输 功能 ;能 够 极 大 地 降低 用 户 费用 ， 也 几乎 不 需 
要 用 户 来 维护 网 站 以 外 的 服务 ; 适合 小 型 网 站 。 

e VPS (Virtual Private Server， 虚 拟 专用 服务 器 ) : 在 一 

台 服 务 器 中 利用 OpenVZ、Xen 或 KVM 等 虚拟 化 技术 模拟 

出 多 台 “ 主 机 ”( 即 VPS〉， 每 个 主机 都 有 独立 的 IP 地 址 、 

操作 系统 ;不同 VPS 之 间 的 磁盘 空间 、 内 存 、CPU、 进 程 

与 系统 配置 完全 隔离 ， 用 户 可 自由 使 用 分 配 到 的 主机 中 的 

所 有 资源 ， 为 此 需要 具备 一 定 的 维护 系统 的 能 力 ; 适合 小 

型 网 站 。 

ECS (Elastic Compute Service， 云 服务 器 ) : 是 一 种 整 

合 了 计算 、 存 储 、 网 络 ， 能 够 做 到 弹性 伸缩 的 计算 服务 ; 

使 用 起 来 与 VPS 几 平一 样 ， 差 别 是 云 服务 器 是 建立 在 一 组 




















集群 服务 器 中 ， 每 个 服务 器 都 会 保存 一 个 主机 的 镜像 〈 备 
份 ) ， 从 而 大 大 提升 了 安全 性 和 稳定 性 ， 另 外 还 具备 灵活 
性 与 扩展 性 ;， 用户 只 需 按 使 用 量 付费 即 可 ;适合 大 中 小 型 
网 站 。 

独立 服务 器 : 这 全 服务 器 仅 提供 给 用 户 一 个 人 使 用 ， 其 使 
用 方式 分 为 租用 方式 与 托管 方式 。 租 用 方式 是 用 户 将 服务 
俐 的 人 硬件 配置 要 求 告 知 IDC 服 务 商 ， 按 照 月 、 季 、 年 为 早 
位 来 租用 它们 的 硬件 设备 。 这 些 人 硬件 设备 由 IDC 服 务 商 的 
机 房 负 责 维护 ， 用 户 一 般 需 要 目 行 安 疼 相应 的 软件 并 部 车 
网 站 服务 ， 这 减轻 了 用 户 在 人 硬件 设备 上 的 投入 ， 适 合 大 中 
型 网 站 。 托 管 方式 则 是 用 户 需 要 上 自行 购置 服务 占 便 件 设 

备 ， 并 将 其 交 给 IDC 服 务 供应 丙 进 行 管 理 〈( 需 要 缴纳 管理 
服务 费 ) 。 用 户 对 服务 器 人 硬件 配置 有 完全 的 控制 权 ， 目 主 
性 强 ， 但 需要 自行 维护 、 修 理 服务 器 硬件 设备 ， 适 合 大 中 
型 网 站 。 


















































另外 需要 提醒 读者 的 是 ， 在 选择 服务 器 主机 供应 商 时 请 一 
定 要 注意 查看 口碑 ， 并 在 综合 分 析 后 再 决定 购买 。 茶 些 供应 商 
会 有 限制 功能 、 强 制 添加 广告 、 隐 藏 扣 费 或 强制 扣 费 等 恶劣 行 
K, WAMA ERRIRE PREȚ 











F A 











1. 使 用 源码 包 安 装 服务 程序 的 最 大 有 把 和 缺点 是 什么 ? 








A. 使 用 源码 包 安 装 服 务 程序 的 最 大 优势 是 ， 服 务 程序 的 
可 移植 性 好 ， 而 且 能 更 好 地 提升 服务 程序 的 运行 效率 ， 缺 点 是 
源码 包 程序 的 安装 、 管 理 、 卸 载 和 维护 都 比较 厅 烦 。 

















2. 使 用 源码 包 的 方式 来 安装 软件 服务 的 大 致 步 又 是 什 


ZA 





AR. 基本 分 为 4 个 步骤 ， 分 别 为 下 载 及 解压 源码 包 文 件 、 
纺 详 源码 包 代 码 、 生 成 二 进 制 安装 程序 、 运 行 二 进 制 的 服务 程 


3. LNMP 动 态 网 站 部 署 架 构 通 常 包含 了 哪些 服务 程序 ? 


答 : LNMP 动 态 网 站 部 署 染 构 通 常 包含 Linux 系 统 、Nginx 
网 站 服务 、MySQL 数 据 库 管 理 系统 ， 以 及 PHP 脚 本 语言 。 








4. 在 MySQL 数 据 库 服务 程序 中 ，/usr/local/mysql 
与 /usr/local/mysql/var 目 录 的 作用 是 什么 ? 








答 : /usr/local/mysql 用 于 保存 MySQL 数 据 库 服务 程 序 的 目 
录 ，/usr/local/mysql/var 则 用 于 保存 真实 数据 库 文件 的 目录 。 








5. 较 之 于 Apache 服 务 程 序 ，Nginx 最 显著 的 优势 是 什么 ? 
Atm 


ET e 











Nginx 服 务 程序 比较 稳定 ， 原 因 是 采用 了 的 资源 分 配 
技术 ， 降 低 了 CPU 与 内 存 的 占用 率 ， 所 以 使 用 Nginx 程 序 部 获 
的 动态 网 站 环境 不 仅 十 分 稳定 、 高 效 ， 而 且 消 耗 的 系统 资源 也 
很 少 。 





c. 如 何 蔡 止 php 服 务 程序 中 不 安全 的 功能 ? 


答 : 编辑 php 服 务 程序 的 配置 文件 
(/usr/local/php/etc/php.ini) ， 把 要 禁用 的 功能 追加 到 
disable_functions 参 数 之 后 即 可 。 


7. 对 于 处 于 创业 阶段 的 小 站 长 群体 来 说 ， 适 合 购 买 哪 种 
IRA as HS AME ? 


答 : OX 2 VTE WO ANTE PE ZS HRS RAY, MIB BG FS EL 
〈 每 个 月 费用 不 超过 100 元 人 民 币 ) ， 而 且 性 能 也 十 分 强劲 。 














欢迎 来 到 异步 社区 ! 


异步 社区 的 来 历 


异步 社区 (www.epubit,com.cm 是 人 民 邮 电 出 版 社 旗 下 IT 专 
业 图 书 旗舰 社区 ， 于 2015 年 8 月 上 线 运 营 。 


异步 社区 依托 于 人 民 邮 电 出 版 社 20 余 年 的 开 专 业 优 质 出 版 
资源 和 编辑 东 划 团队 ， 打 造 传 统 出 版 与 电子 出 版 和 目 出 版 结 
合 、 纸 质 书 与 电子 书 结合 、 传 统 印刷 与 POD 控 需 印 刷 结 合 的 出 
版 平台 ， 提 供 最 新 技术 资讯 ， 为 作者 和 读者 打造 交流 互动 的 平 


人 
Lo 











ENR ca on 加 


MERA 


+ 区 UI 全 新 改版 ， 新 新 面 萄 迎接 20171 为 答谢 社区 用 上 























免费 电子 书 

Free eBook 
mi 我 要 写 书 
Br Write for Us 














PythonfiBEZ E! MOAI: SESE MEM eee MMT: ee à 
Wares EE 与 贝 叶 斯 推断 的 Python 学 习 法 近期 活动 


ALK BEB AIT A? 


购买 图 书 


我 们 出 版 的 图 书 涵盖 主流 IT 技术 ， 在 编程 语言 、Web 技 
术 、 数 据 科 学 等 领域 有 众多 经 典 畅销 图 书 。 社 区 现 已 上 线 图 书 
1000 余 种 ， 电 子 书 400 多 种 ， 部 分 新 书 实现 纸 书 、 电 子 书 同步 
出 版 。 我 们 还 会 定期 发 布 新 书 书 讯 。 

















社区 内 提供 随 书 附 赠 的 资源 ， 如 书 中 的 案例 或 程序 源 代 
码 。 





另外 ， 社 区 还 提供 了 大 量 的 免费 电子 书 ， 只 要 注册 成 为 社 
区 用 户 就 可 以 免费 下 载 。 
与 作 详 痢 互动 

很 多 图 书 的 作 译 者 已 经 入 驻 社区 ， 您 可 以 关注 他 们 ， 咨 询 
技术 问题 ， 可 以 阅读 不 断 更 新 的 技术 文章 ， 听 作 译 者 和 编辑 由 


聊 好 书 背 后 有 趣 的 故事 ， 还 可 以 参与 社区 的 作者 访谈 栏目 ， 癌 
您 天 注 的 作者 提出 采访 题目 。 











灵活 优惠 的 购书 


您 可 以 方便 地 下 单 购买 纸 质 图 书 或 电子 图 书 ， 纸 质 图 书 下 
接 从 人 民 邮 电 出 版 社 书 库 发 贷 ， 电 子 书 提 供 多 种 阅读 格式 。 








对 于 重 磅 新 书 ， 社 区 提供 预 售 和 新 书 首发 服务 ， 用 户 可 以 
第 一 时 间 买 到 心仪 的 新 书 。 





用 户 帐 户 中 的 积分 可 以 用 于 购书 优惠 。100 积 分 =1 元 ， 购 
买 图 书 时 ， 在 ， ;Ba 里 填 入 可 使 用 的 积分 数值 ， 即 可 扣 减 
相应 金额 。 


特别 优惠 





购买 本 电子 书 的 读者 专 享 异步 社区 优惠 券 。 使 用 方法 : 注册 成 为 
社区 用 户 ， 在 下 单 购书 时 输入 “57AWG”， 然 后 点 击 “ 使 用 优惠 码 ”， 即 
可 至 受 电 子 书 8 折 优惠 (本 优惠 券 只 可 使 用 一 次 ) 。 








纸 电 图 书 组 合 购买 


社区 独家 提供 纸 质 图 书 和 电子 书 组 合 购买 方式 ， 价 格 优 
惠 ， 一 次 购买 ， 多 种 阅读 选择 。 








Wireshark 网 络 分 析 的 艺术 soma 


作者 m 





sa s UnPeinen $ 
分 类 ; 计算 机 箭 闻 > SESE > 网 络 安 全 bes 
Wireshark S5 ERG 059 GITRITR. CERES, EMARIAN. RS 
一 8105215: SR E Wireshark ELTER, | okisadi 
Wireshark TOGEASNISETERZISS . CRAB, GMNSBTSdEGE PE 
fa8 3937 Tfi EBD EAT @ 5.6K 2 e 7 a 分 ES 
: sx Cue - 5 {Wireshark 3 18 53 fft 8 i 2. 08 
8f) 80 (Wireshark RBS 
术 》 作 者 
ET E 
Liz 


| bri ud | 
— ES (o —— 


" Nmap ARSLAN 
E% FS: are 
Nmap 

sa 


mas 
e- 一 -一 








社区 里 还 可 以 做 什么 ? 


提交 勘误 





您 可 以 在 图 书页 面 下 方 提 交 勘 误 ， 每 条 勘误 被 确认 后 可 以 
获得 100 积 分 。 热 心 勘误 的 读者 还 有 机 会 参与 书稿 的 审 校 和 翻 
译 工 作 。 





写作 

社区 提供 基于 Markdown 的 写作 环境 ， 豆 欢 写 作 的 您 可 以 
在 此 一 试 刁 手 ， 在 社区 里 分 享 您 的 技术 心得 和 读书 体会 ， 更 可 
以 体验 目 出 版 的 乐趣 ， 轻 松 实现 出 版 的 梦想 。 














如 果 成 为 社区 认证 作 译 者 ， 还 可 以 理 受 异步 社区 提供 的 作 
diy EA IRS -o 
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扫描 任意 二 维 码 都 能 找到 我 们 : 


“Pegi 








微 信 订 阅 号 





官方 微 博 





QQ: 436746675 


社区 网 址 : www.epubit.com.cn 
官方 微 信 : 异步 社区 


官方 微 博 : @ 人 邮 寞 步 社 区 ，@ 人 民 邮 电 出 版 社 -信息 技 
术 分 社 


投稿 && 咨 询 : contact@epubit.com.cn 


